Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с максимальным рейтингом?

Adobe закрыла сразу 9 уязвимостей в двух продуктах: Adobe ColdFusion и Adobe Campaign Classic. Из них 7 получили максимально возможный балл по шкале CVSS — 10.0. Ещё две оценены в 9.3. Все уязвимости критические, и каждая из них при удачной эксплуатации открывала бы атакующему возможность выполнить произвольный код на целевой системе.
В ColdFusion закрыто 8 уязвимостей. Четыре из них связаны с некорректной валидацией входных данных: CVE-2026-48277, CVE-2026-48281 и CVE-2026-48316 получили 10.0 баллов и позволяли выполнить произвольный код, CVE-2026-48315 с оценкой 9.3 давала возможность повысить привилегии. Ещё два дефекта — CVE-2026-48276 и CVE-2026-48283 — связаны с неограниченной загрузкой файлов опасного типа, оба с CVSS 10.0 и оба ведут к выполнению кода. CVE-2026-48282 — path traversal с оценкой 10.0, тоже произвольное выполнение кода. CVE-2026-48313 — ещё один path traversal, но с баллом 9.3, он позволял читать произвольные файлы из файловой системы.
Исправления для ColdFusion вошли в обновления ColdFusion 2023 Update 21 и ColdFusion 2025 Update 10. Уязвимости CVE-2026-48283 и CVE-2026-48313 нашли и сообщили об них Anirudh Anand и Matan Sandori. Компания 2Bsecure фигурирует как нашедшая CVE-2026-48307.
В Adobe Campaign Classic закрыта одна уязвимость: CVE-2026-48286 с оценкой CVSS 10.0. Тип проблемы — некорректная авторизация, следствие — выполнение произвольного кода. Под удар попадали версии ACC v7 сборки 9396 и более ранние на Windows и Linux. Исправление получила сборка 9397.
Здесь важная деталь: CVE-2026-48286 касается только тех установок, где Campaign Classic развёрнут на собственных серверах компании, включая on-premise компоненты гибридных схем. Инсталляции, которые Adobe сама хостит в облаке, уже обновлены автоматически, администраторам там ничего делать не нужно.
Adobe заявила, что на момент публикации патчей ни одна из девяти уязвимостей не эксплуатировалась в реальных атаках. Это важно, но не должно расслаблять: промежуток между публикацией сведений об уязвимости и первыми атаками сжимается очень быстро.
Параллельно Adobe объявила об изменении графика выпуска бюллетеней безопасности. С 14 июля 2026 года компания переходит с ежемесячного цикла на двухнедельный: патчи будут выходить во второй и четвёртый вторник каждого месяца. Причина — ускоренное обнаружение уязвимостей с помощью моделей искусственного интеллекта, которые Adobe применяет внутри.
Главный директор по безопасности Adobe Aanchal Gupta пояснила это так: «Те возможности ИИ, которые мы применяем, доступны и атакующим, и окно между публичным раскрытием уязвимости и активной эксплуатацией сжимается с дней до часов». Более частый выпуск патчей она назвала «естественным следующим шагом» для того, чтобы исправления быстрее доходили до клиентов.
Системным администраторам, использующим ColdFusion, нужно обновиться до ColdFusion 2023 Update 21 или ColdFusion 2025 Update 10. Тем, кто эксплуатирует Adobe Campaign Classic v7 на своих серверах, — переходить на сборку 9397 без промедления.


Новое на сайте

Ссылка