Im Zentrum der Veröffentlichung stehen Updates für Adobe ColdFusion. Laut Adobe beheben sie kritische und wichtige Schwachstellen, die unter anderem beliebige Codeausführung, Rechteausweitung, das Auslesen beliebiger Dateien im Dateisystem sowie die Umgehung von Sicherheitsmechanismen ermöglichen könnten. Bereitgestellt wurden die Korrekturen in ColdFusion 2023 Update 21 und ColdFusion 2025 Update 10.

Adobe nennt in diesem Zusammenhang auch die beteiligten Sicherheitsforscher: Anirudh Anand, Matan Sandori und 2Bsecure wurden für die Entdeckung und Meldung von CVE-2026-48283, CVE-2026-48313 und CVE-2026-48307 genannt. Der Quelltext spricht insgesamt von sieben Schwachstellen mit einem CVSS-Wert von 10,0 in ColdFusion und Campaign Classic.

Separat hat Adobe eine kritische Lücke in Adobe Campaign Classic geschlossen. Betroffen sind nach Herstellerangaben die Versionen ACC v7: 7.4.3 Build 9396 und älter für Windows und Linux. Die Schwachstelle wird als CVE-2026-48286 geführt, hat einen CVSS-Wert von 10,0 und beruht auf einer fehlerhaften Autorisierung. Dadurch könnte ein Angreifer auf betroffenen Systemen beliebigen Code ausführen.

Behoben wurde CVE-2026-48286 in ACC v7: 7.4.3 Build 9397. Adobe weist darauf hin, dass die Lücke ausschließlich lokale Adobe-Campaign-Instanzen betrifft, darunter vollständig lokal betriebene Umgebungen ebenso wie lokale Komponenten in hybriden Bereitstellungen. Von Adobe gehostete Instanzen seien bereits aktualisiert und erforderten keine Maßnahmen.

Für alle mit den beiden Updates geschlossenen Probleme sieht Adobe derzeit keine Hinweise auf Ausnutzung in freier Wildbahn. Das Unternehmen erklärte ausdrücklich, dass keine der adressierten Schwachstellen bislang aktiv angegriffen worden sei.

Begleitet wird die Offenlegung von einer Änderung bei der Veröffentlichung von Sicherheitsinformationen. Adobe stellt nach eigenen Angaben ab dem 14. Juli 2026 von einem monatlichen auf einen zweiwöchentlichen Rhythmus um und will Sicherheitsbulletins und Warnhinweise künftig am zweiten und vierten Dienstag jedes Monats herausgeben. Als direkten Grund nennt das Unternehmen die beschleunigte Entdeckung von Schwachstellen mithilfe von Modellen der künstlichen Intelligenz.

Adobes Sicherheitschefin Aanchal Gupta begründete den Schritt damit, dass die verwendeten fortgeschrittenen KI-Fähigkeiten auch Angreifern zur Verfügung stünden und sich das Zeitfenster zwischen öffentlicher Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung von Tagen auf Stunden verkürze. Adobe setze KI ein, um Schwachstellen früher zu finden und zu beheben; Kunden die Korrekturen schneller bereitzustellen, sei der nächste logische Schritt.