Adobe Patch Tuesday червня 2026: рідкісні помилки CVSS 10 і як цей реліз виглядає на тлі рекорду Microsoft

Попри серйозність загрози, Adobe повідомила, що на момент релізу їй не було відомо про активні атаки з використанням цих вразливостей. Однак експерти з безпеки закликали до негайного встановлення патчів, оскільки очікували активних спроб створити proof-of-concept (PoC) експлойти для демонстрації роботи вразливостей . Виправлення стосується Adobe Campaign Classic ACC v7 (збірка 9394 та більш ранні версії) на платформах Windows і Linux .

Оновлення з найвищим пріоритетом: ColdFusion та Campaign Classic

Разом із Campaign Classic, оновлення для Adobe ColdFusion (APSB26-64) отримали пріоритет розгортання 1 — найвищий рівень терміновості, який Adobe залишає за вразливостями з високим ризиком цільових атак . У ColdFusion 2025 та 2023 було виправлено критичні та важливі помилки, що могли призвести до виконання довільного коду, підвищення привілеїв та обходу захисних функцій .

Лише ці два бюлетені отримали позначку «Пріоритет 1». Усі інші продукти в червневому релізі, зокрема Experience Manager та InDesign, отримали «Пріоритет 3». Це означає, що наразі Adobe вважає ймовірність їх використання в реальних атаках суттєво нижчою .

Масштаби оновлення: які продукти під загрозою

Загалом 11 бюлетенів безпеки охопили 123 унікальні CVE. За даними Qualys, 47 із виправлених вразливостей класифіковано як критичні; їх експлуатація потенційно могла призвести до довільного виконання коду, підвищення привілеїв та обходу систем захисту . Повний перелік продуктів, яких торкнулося оновлення:

• Adobe Experience Manager та Experience Manager Forms: тут зосереджена значна частина виправлень, зокрема численні вразливості на кшталт міжсайтового скриптингу (XSS), які могли призвести до довільного виконання коду .
• Adobe ColdFusion (APSB26-64): критичні та важливі вразливості у версіях 2025 і 2023, що ведуть до виконання коду та підвищення привілеїв .
• Adobe Campaign Classic (APSB26-66): дві рідкісні помилки з CVSS 10, які уможливлюють довільне виконання коду .
• Adobe Acrobat та Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver та Format Plugins: усі отримали виправлення критичних і важливих вразливостей, пов’язаних із виконанням коду, витоком пам’яті та відмовою в обслуговуванні (DoS) .

Для кількох продуктів, як-от Content Credentials SDK та InDesign, Adobe окремо підтвердила, що їй невідомо про активне використання зловмисниками виправлених вразливостей на момент релізу .

Adobe проти Microsoft: два Patch Tuesday, два рекорди

Хоча 123 виправлення від Adobe — це чимало, увагу громадськості цього разу перетягнула на себе Microsoft зі своїм рекордним червневим «вівторком виправлень». За оцінками різних дослідницьких компаній, Microsoft закрила від 198 до 211 вразливостей .

Реліз Microsoft став історичним викидом (outlier), значно перевершивши попередній рекорд у 175 CVE, встановлений у жовтні 2025 року . Якщо ж додати виправлення для браузера Edge на базі Chromium, загальна кількість закритих Microsoft у червні вразливостей сягнула понад 570, що викликало в індустрії дискусії про «патч-апокаліпсис» . Оновлення Adobe, хоч і було суттєвим, більше відповідало її звичному тренду великих квартальних релізів .

Що ІТ-командам слід зробити в першу чергу

Пріоритети для системних адміністраторів цілком зрозумілі. Оновлення для Adobe Campaign Classic та ColdFusion мають бути на першому місці у списку встановлення через їхній найвищий пріоритет та критичний характер вразливостей, особливо двох помилок із CVSS 10. Хоча активних атак поки не зафіксовано, потенційний рівень загрози та історична привабливість ColdFusion як мішені для хакерів вимагають якнайшвидшого оновлення .

Для таких продуктів, як Experience Manager, InDesign та Acrobat Reader, які отримали нижчий пріоритет, все одно варто дотримуватися стандартних політик управління виправленнями, щоб уникнути потенційних проблем із безпекою в майбутньому.