A Adobe liberou patches de segurança para sete vulnerabilidades de gravidade máxima nas plataformas ColdFusion, voltada ao desenvolvimento de aplicações web, e Campaign Classic, usada em automação de marketing.
Todas as falhas podem ser exploradas em ataques de baixa complexidade, sem necessidade de interação do usuário, e receberam prioridade 1, o que indica alto risco de exploração.
Em comunicado, a Adobe informou que essa atualização corrige vulnerabilidades que estão sendo alvo, ou que têm maior risco de serem alvo, de exploit em ambiente real para uma determinada versão do produto e plataforma.
A empresa recomenda que os administradores instalem a atualização o mais rápido possível, por exemplo, em até 72 horas.
A Adobe acrescentou, em avisos divulgados na terça-feira, que não tem conhecimento de exploit em ambiente real para nenhum dos problemas corrigidos nessas atualizações.
Seis dessas falhas críticas, identificadas como
CVE-2026-48276
,
CVE-2026-48277
,
CVE-2026-48281
, CVE-2026-48316 e
CVE-2026-48282
, afetam as versões 2025.9, 2023.20 e anteriores do ColdFusion.
Elas podem ser exploradas por atacantes sem privilégios para obter execução remota de código em sistemas sem patch.
A vulnerabilidade de gravidade máxima do Campaign Classic, identificada como
CVE-2026-48286
, afeta a versão 7.4.3 build 9396 e anteriores.
Se explorada com sucesso, pode permitir execução arbitrária de código no contexto do usuário atual.
Segundo o comunicado de segurança da Adobe, a
CVE-2026-48286
afeta apenas instâncias locais do Adobe Campaign, incluindo implantações totalmente locais e componentes locais em ambientes híbridos, já que a falha foi corrigida nas instâncias hospedadas pela própria Adobe.
Aanchal Gupta, diretora de segurança da Adobe, também anunciou na quinta-feira que a empresa vai passar a publicar comunicados de segurança duas vezes por mês para acelerar a entrega de atualizações.
“Com efeito em 14 de julho de 2026, a Adobe deixará de publicar os boletins e avisos de segurança mensalmente e passará a fazê-lo duas vezes por mês, na segunda e na quarta terça-feira de cada mês”, afirmou Gupta.
“Para vulnerabilidades ativamente exploradas ou zero-day descobertas externamente, nosso processo de resposta fora de banda permanece em vigor.”
No início de abril, a Adobe também lançou patches emergenciais para corrigir uma vulnerabilidade no Acrobat Reader, identificada como
CVE-2026-34621
, que vinha sendo explorada em ataques zero-day desde pelo menos dezembro.
Nos últimos cinco anos, a Cybersecurity and Infrastructure Security Agency (CISA) adicionou 79 falhas de segurança em produtos da Adobe ao seu catálogo de vulnerabilidades ativamente exploradas.
Dez delas também foram usadas por grupos de ransomware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...