Den größten Handlungsdruck sieht Adobe bei ColdFusion. Von 13 dort behobenen Sicherheitslücken gelten acht als kritisch: CVE-2026-48318, CVE-2026-48322, CVE-2026-48284, CVE-2026-48321, CVE-2026-48325, CVE-2026-48319, CVE-2026-48324 und CVE-2026-48327. Diese Fehler könnten nach Angaben des Herstellers zur Ausführung beliebigen Codes und zur Ausweitung von Berechtigungen führen.
Zu den zugrunde liegenden Fehlerklassen zählen Pfadmanipulation, Code-Injektion, unzureichende Eingabevalidierung, fehlende Authentifizierung, SQL-Injection und fehlerhafte Autorisierungsprüfungen. Adobe versieht den aktuellen Sicherheitshinweis mit der Prioritätsstufe 1. Die Korrekturen sind in ColdFusion 2025 Update 11 und ColdFusion 2023 Update 22 enthalten.
Die neuen Patches kommen kurz nach einem weiteren sicherheitsrelevanten ColdFusion-Update. Erst zwei Wochen zuvor hatte Adobe sechs Schwachstellen mit maximalem Schweregrad geschlossen. Eine davon wurde laut Bericht von Angreifern binnen Stunden nach der öffentlichen Offenlegung in Angriffen ausgenutzt.
Auch Adobe Commerce erhält ein sicherheitsrelevantes Update. Dort wurden 13 Schwachstellen beseitigt, darunter zwei kritische Fehler mit den Kennungen CVE-2026-48356 und CVE-2026-48358. Beide können laut Adobe zu einer Rechteausweitung beziehungsweise zur Ausführung beliebigen Codes führen.
Für Experience Manager hat Adobe ebenfalls 13 Sicherheitslücken geschlossen. Darunter sind die beiden kritischen Schwachstellen CVE-2026-48259 und CVE-2026-48359, die beide für die Ausführung beliebigen Codes missbraucht werden könnten.
In Illustrator hat Adobe neben vier weiteren Schwachstellen auch einen kritischen Fehler beseitigt. Die Lücke wird als CVE-2026-48334 geführt, als unzureichende Eingabevalidierung beschrieben und könnte zur Ausweitung von Berechtigungen ausgenutzt werden.
Zusätzlich hat Adobe am Dienstag Updates für Content Credentials SDK mit 12 Schwachstellen, Animate mit 6, Audition mit 6, Bridge mit 6, Media Encoder mit 5, Premiere Pro mit 4, After Effects mit 3 sowie die Creative Cloud Desktop Application mit 2 Schwachstellen angekündigt.
Nach Angaben von Adobe gibt es derzeit keine Hinweise darauf, dass eine dieser nun geschlossenen Schwachstellen bereits in freier Wildbahn ausgenutzt wird. Weiterführende Informationen verweist das Unternehmen auf seine Seite mit Sicherheitsbulletins.
