Die als kritisch eingestuften Schwachstellen beschränken sich nicht auf ColdFusion. Adobe hat kritische Lücken, über die sich Code ausführen lässt, auch in Acrobat Reader, InDesign, InCopy, FrameMaker, Connect, Bridge, Photoshop und Illustrator geschlossen.

Weniger schwerwiegend, aber dennoch als „wichtig" eingestuft, sind Probleme in Experience Manager Screens und im DNG SDK. Sie ermöglichen unter anderem die Ausführung von Code, Denial-of-Service-Angriffe sowie die Ausweitung von Berechtigungen.

Für sämtliche der 55 behobenen Schwachstellen gilt nach Angaben des Unternehmens, dass keine aktive Ausnutzung bekannt ist. Die Prioritätsstufe 1 für die ColdFusion-Mitteilung leitet Adobe nicht aus konkreten Angriffen ab, sondern aus der Vorgeschichte des Produkts: ColdFusion war in den zurückliegenden Jahren wiederholt Ziel von Angreifern.

Der aktuelle Patchday reiht sich allerdings in mehrere jüngste Vorfälle ein. Vor wenigen Tagen kündigte Adobe Patches für CVE-2026-34621 an, eine Zero-Day-Schwachstelle in Acrobat und Reader, die allem Anschein nach bereits seit mehreren Monaten ausgenutzt wird.

Hinzu kommt eine Warnung der US-Cybersicherheitsbehörde CISA: Diese teilte mit, dass ihr Angriffe auf eine ältere Acrobat- und Reader-Schwachstelle mit der Kennung CVE-2020-9715 bekannt sind.