Patchday: Adobe schließt mehr als 120 Sicherheitslücken in InDesign & Co.

An diesem Patchday gelten zwei „kritische“ Sicherheitslücken mit Höchstwertung in Adobe Campaign Classic als am gefährlichsten. Darüber kann Schadcode auf PCs gelangen und Systeme vollständig kompromittieren. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Mehrere Gefahren

Wie aus einer Warnmeldung hervorgeht, weisen die Campaign-Classic-Schwachstellen (CVE-2026-48303, CVE-2026-47938) den maximalen CVSS Score 10 von 10 auf. Wie Schadcode-Attacken im Detail ablaufen könnten, ist bislang nicht bekannt. Davon sind Linux und Windows bedroht. Die Entwickler versichern, die Sicherheitsprobleme in v7: 7.4.3 build 9396 gelöst zu haben.

ColdFusion 2023 und 2025 sind über sechs von Adobe als „kritisch“ eingestufte Lücken angreifbar. Davon sind einem Beitrag zufolge alle Plattformen betroffen. So können Angreifer etwa Schadcode ausführen (CVE-2026-47928), Sicherheitsmaßnahmen umgehen (CVE-2026-47932) oder sich höhere Nutzerrechte verschaffen (CVE-2026-47929). Hier schaffen ColdFuison 2023 Update 20 und ColdFusion 2025 Update 9 Abhilfe.

Als „kritisch“ gelten dem Softwarehersteller zufolge auch zwei Schwachstellen (CVE-2026-34691, CVE-2026-34693) in Experience Manager Forms für alle Plattformen. Hier kann in Form von Stored- und Reflected-XSS-Attacken Schadcode auf Systeme gelangen.

Mit 56 Stück hat Adobe die meisten Lücken in Experience Manager geschlossen. Hier helfen die Versionen AEM Cloud Service (CS) Release 2026.05, 6.5 LTS Service Pack 2 und 6.5 Service Pack 25.

Weitere Informationen zu bedrohten und reparierten Versionen finden Admins in den offiziellen Warnmeldungen.

(des)