Im Fall von Adobe Campaign Classic behebt das Update die Schwachstelle CVE-2026-48286 mit einem CVSS-Wert von 10,0. Adobe beschreibt den Fehler als Problem mit fehlerhafter Autorisierung, das Angreifern die Ausführung von beliebigem Code ermöglichen könnte. Der Patch ist in Adobe Campaign Classic 7.4.3 Build 9397 enthalten, das für Nutzer von Windows und Linux ausgerollt wird.

Für ColdFusion hat Adobe Updates für die Versionen 2025 und 2023 bereitgestellt. Insgesamt schließen diese elf Sicherheitslücken, darunter sechs mit der Höchstbewertung 10,0. Laut Adobes Sicherheitshinweis handelt es sich dabei um CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316, CVE-2026-48282 und CVE-2026-48283. Diese Schwachstellen könnten zur Ausführung von beliebigem Code führen.

Adobe zufolge liegen die Ursachen dieser sechs kritischen ColdFusion-Lücken in uneingeschränkten Uploads gefährlicher Dateitypen, mangelhafter Eingabevalidierung und Path-Traversal-Schwächen. Damit nennt der Hersteller zugleich die zentralen Fehlerklassen, die hinter den schwerwiegendsten Problemen in der aktuellen Patch-Runde stehen.

Zusätzlich beseitigt Adobe in ColdFusion zwei weitere kritische Schwachstellen: CVE-2026-48313 und CVE-2026-48315, jeweils mit einem CVSS-Wert von 9,3. Adobe beschreibt diese Fehler als Path-Traversal- und Eingabevalidierungsprobleme, die zu beliebigem Lesen des Dateisystems und zu Rechteausweitung führen könnten.

Hinzu kommen drei weitere behobene Lücken in ColdFusion mit niedrigeren, aber weiterhin hohen Bewertungen. CVE-2026-48307 hat einen CVSS-Wert von 8,8 und wird als XSS-Schwachstelle beschrieben, die zur Ausführung von beliebigem Code führen kann. CVE-2026-48285 mit einem CVSS-Wert von 8,6 ist eine SSRF-Schwachstelle, über die sich Sicherheitsfunktionen umgehen lassen könnten. Bei CVE-2026-48314 handelt es sich um eine Path-Traversal-Schwachstelle mittlerer Schwere, die zu Rechteausweitung führen kann.

Die Korrekturen für sämtliche genannten ColdFusion-Schwachstellen stecken in ColdFusion 2025 Update 10 und ColdFusion 2023 Update 21. Adobe erklärt, man kenne derzeit keine öffentlichen Exploits, die diese Sicherheitslücken gezielt ausnutzen. Dennoch hat der Hersteller beide Sicherheitsupdates mit Priorität 1 versehen. Diese Einstufung bedeutet laut Adobe, dass die Schwachstellen in Angriffen ausgenutzt werden könnten.