Adobe 於近日發布安全性更新,修補 ColdFusion 網頁應用程式開發平台與 Campaign Classic 行銷自動化平台共七項最高嚴重性漏洞。這些漏洞不需用戶互動,即可在低複雜度攻擊中被利用,並被標記為優先等級 1。Adobe 表示,目前尚未發現上述漏洞在野外遭利用的跡象。
ColdFusion 漏洞細節
影響 ColdFusion 的六項最高危漏洞(CVSS 10.0)涵蓋以下類型:
- CVE-2026-48276、CVE-2026-48283:危險類型檔案的無限制上傳(unrestricted upload of file with dangerous type)漏洞,可導致任意程式碼執行。
- CVE-2026-48277、CVE-2026-48281、CVE-2026-48316:輸入驗證不當漏洞,可導致任意程式碼執行。
- CVE-2026-48282:路徑遍歷(path traversal)漏洞,可導致任意程式碼執行。
另有兩項較低嚴重性漏洞(CVSS 9.3):
CVE-2026-48313 為路徑遍歷漏洞,可導致任意檔案系統讀取;
CVE-2026-48315 為輸入驗證不當漏洞,可導致權限提升。
上述漏洞影響 ColdFusion 2025.9、2023.20 及更早版本;攻擊者無需任何權限,即可在未修補系統上達成遠端程式碼執行。修補程式已包含於 ColdFusion 2023 Update 21 與 ColdFusion 2025 Update 10。
Campaign Classic 漏洞細節
影響 Campaign Classic 的最高危漏洞
CVE-2026-48286(CVSS 10.0)屬於授權驗證不正確(incorrect authorization)問題,可使攻擊者在受影響系統上執行任意程式碼。該漏洞影響 Windows 與 Linux 平台的 ACC v7:7.4.3 build 9396 及更早版本,並已於 build 9397 中修補。
Adobe 指出,CVE-2026-48286 僅影響本地端部署的 Campaign Classic 實例,包含完整本地端部署及混合式部署中的本地端元件;Adobe 代管的雲端實例已完成更新,用戶無需採取任何行動。
因應 AI 加速漏洞發現,Adobe 改為每月兩次發布安全公告
Adobe 資安長 Aanchal Gupta 於本週宣布,自 2026 年 7 月 14 日起,Adobe 將安全公告發布頻率從每月一次調整為每月兩次,改於每月第二及第四個週二發布。Adobe 表示,此調整直接源於 AI 模型加速漏洞發現的速度。
Gupta 表示,Adobe 正在使用的前沿 AI 能力同樣對攻擊者開放,從漏洞公開揭露到主動遭利用的時間窗口,
正由數天壓縮至數小時。Adobe 正運用 AI 搶先發現並修復漏洞,而更快將修補程式交付給用戶,也就成為順理成章的下一步。對於已遭主動利用或外部發現的零日漏洞,Adobe 的緊急帶外(out-of-band)應變流程仍維持不變。
過去五年間,美國網路安全暨基礎設施安全局(CISA)已將 79 項 Adobe 產品漏洞列入已知遭利用漏洞目錄(KEV),其中 10 項曾遭勒索軟體集團利用。
本文轉載自 BleepingComputer、TheHackerNews。