Den Schwerpunkt des Patchdays bilden Schwachstellen, die sich zur Ausführung beliebigen Codes eignen: Mehr als die Hälfte der 52 behobenen Fehler fällt in diese Kategorie. An zweiter Stelle stehen Lücken, über die sich Anwendungen lahmlegen lassen (Denial of Service).
Die kritischsten Schwachstellen betreffen Adobe Connect. Das Update schließt dort zwei als kritisch eingestufte Lücken: CVE-2026-34659 (CVSS-Wert 9,6) ermöglicht Codeausführung, CVE-2026-34660 (CVSS-Wert 9,3) eine Ausweitung von Rechten.
Die meisten Fehler beseitigt das Update für Adobe Commerce. Dort behebt Adobe zehn als hoch und fünf als mittel eingestufte Schwachstellen, die sich zum Umgehen von Sicherheitsfunktionen, zum Auslösen von DoS-Zuständen und zur Codeausführung ausnutzen lassen.
An zweiter Stelle nach Anzahl der Korrekturen steht das Content Authenticity SDK mit 14 behobenen Schwachstellen. Diese – eine hoch, 13 mittel eingestuft – können sämtlich zu einem Denial of Service der Anwendung führen.
Hoch eingestufte Lücken zur Codeausführung schloss Adobe zudem in After Effects (vier Schwachstellen), Premiere Pro (drei), Media Encoder (zwei), Substance 3D Painter (zwei) und Substance 3D Sampler (eine). Das Illustrator-Update beseitigt zwei hoch eingestufte Codeausführungsfehler sowie zwei mittlere Probleme, die zu DoS und zur Offenlegung von Speicherinhalten führen. In Substance 3D Designer wurden fünf mittlere Schwachstellen behoben, vier davon ermöglichen Codeausführung, eine das beliebige Lesen aus dem Dateisystem.
Dem Commerce-Update gab Adobe die Prioritätsstufe 2, da das Produkt bereits in der Vergangenheit angegriffen wurde. Die übrigen Updates erhielten die Stufe 3. Nach eigenen Angaben hat Adobe keine Hinweise darauf, dass eine der Schwachstellen aktiv ausgenutzt wurde. Weitere Informationen finden sich auf der PSIRT-Seite des Herstellers.