Datenschutz & Sicherheit
Lücken in Adobe ColdFusion und Campaign Classic: Patchdayzyklus verdoppelt
Adobes Enterprise-Marketing-Automatisierungslösung Campaign Classic und die Web-Anwendungsplattform sind über mehrere „kritische“ Sicherheitslücken mit Höchstwertung angreifbar. Nach erfolgreichen Attacken kann Schadcode Computer vollständig kompromittieren. Admins sollten die verfügbaren Sicherheitsupdates zeitnah installieren. Überdies will der Softwarehersteller ab sofort zweimal pro Monat Sicherheitspatches verteilen.
Weiterlesen nach der Anzeige
Sieben Lücken mit maximalem Score
Wie aus einer aktuellen Warnmeldung zu ColdFusion hervorgeht, haben die Entwickler insgesamt elf Sicherheitslücken geschlossen. Davon sind alle Plattformen betroffen. Acht der Schwachstellen sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Für sechs Lücken (CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316, CVE-2026-48282, CVE-2026-48283) wurde der maximale CVSS Score 10 von 10 vergeben.
Vom CVSS Score leitet sich der Schweregrad einer Lücke und dementsprechend die Priorisierung von Sicherheitsupdates ab. Demzufolge sollten Admins umgehend handeln, um Systeme vor möglichen Attacken zu schützen. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.
Um in diesen Fällen Schadcode auf Systeme zu schieben, können Angreifer präparierte Dateien auf einem nicht näher beschriebenen Weg hochladen. Alternativ gelingt das aufgrund einer unzureichenden Eingabevalidierung. Das lässt darauf schließen, dass bestimmte Eingaben nicht ausreichend überprüft werden und so von Angreifern manipulierte Befehlsketten durchkommen.
Eine weitere Sicherheitslücke mit Höchstwertung (CVE-2026-48286 „kritisch“) bedroht einem Beitrag zufolge Campaign Classic unter Linux und Windows. Auch hier ist die Beschreibung der Schwachstelle wie von Adobe gewohnt knapp. Dort ist lediglich die Rede von einer falschen Autorisierung.
Sicherheitsupdates
Damit Angreifer nicht an den Lücken ansetzen können, müssen Admins Campaign Classic ACC v7: 7.4.3 build 9397 und ColdFusion 2023 Update 21 oder ColdFusion 2025 Update 10 installieren. Alle vorigen Versionen sind den Entwicklern zufolge verwundbar.
Weiterlesen nach der Anzeige
Patchday-Veränderung
In einem Beitrag schreibt Adobe, dass sie ab sofort zweimal pro Monat Sicherheitsupdates veröffentlichen wollen. Bislang geschah das immer einmal pro Monat am zweiten Dienstag im Monat. Nun gibt es zusätzlich am vierten Dienstag Patches. Als Grund dafür gibt Adobe an, dass Angreifer in Zeiten von KI jüngst bekannt gewordene Schwachstellen bereits nach wenigen Stunden statt Tagen ausnutzen. Demzufolge müssen Updates schneller erscheinen.
(des)