返回
快讯

Adobe 修补 ColdFusion 与 Campaign Classic 的 7 个高危漏洞

Adobe 为 ColdFusion 与 Campaign Classic 发布补丁,修复多项最高危漏洞,部分 CVSS 评分达 10.0,可能导致远程代码执行、权限提升、任意文件读取与安全绕过。目前未发现这些漏洞被实际利用。

CVE-2026-48276CVE-2026-48283CVE-2026-48277CVE-2026-48281CVE-2026-48316CVE-2026-48282CVE-2026-48313CVE-2026-48315CVE-2026-48307CVE-2026-48286

Adobe 已为影响 Adobe ColdFusion 和 Adobe Campaign Classic 的多个最高严重性安全漏洞发布补丁。

Adobe 在周二发布的一则警报中表示,ColdFusion 更新“修复了可能导致任意代码执行、权限提升、任意文件系统读取以及安全功能绕过的关键和重要漏洞”。

这些漏洞如下所列 -

CVE-2026-48276、CVE-2026-48283(CVSS 分数:10.0)- 具有危险类型文件的无限制上传漏洞,可能导致任意代码执行

CVE-2026-48277、CVE-2026-48281、CVE-2026-48316(CVSS 分数:10.0)- 不当输入验证漏洞,可能导致任意代码执行

CVE-2026-48282(CVSS 分数:10.0)- 一个路径遍历漏洞,可能导致任意代码执行

CVE-2026-48313(CVSS 分数:9.3)- 一个路径遍历漏洞,可能导致任意文件系统读取

CVE-2026-48315(CVSs 分数:9.3)- 一个不当输入验证漏洞,可能导致权限提升

这些问题已在 ColdFusion 2023 Update 21 和 ColdFusion 2025 Update 10 中得到修复。安全研究人员 Anirudh Anand、Matan Sandori 和 2Bsecure 因发现并报告 CVE-2026-48283、CVE-2026-48313 和 CVE-2026-48307 而获得致谢。

此外,Adobe 还发布了修复程序,以关闭 Adobe Campaign Classic 中的一个严重漏洞,该漏洞影响 Windows 和 Linux 上的 ACC v7: 7.4.3 build 9396 及更早版本,可能导致任意代码执行。

该漏洞被追踪为 CVE-2026-48286(CVSS 分数:10.0),属于错误授权案例,可能使攻击者在受影响系统上执行任意代码。它已在 ACC v7: 7.4.3 build 9397 版本中修补。

Adobe 指出,CVE-2026-48286 仅影响本地部署的 Adobe Campaign 实例,包括完全本地部署以及混合部署中的本地组件。Adobe 托管的实例已经更新,无需采取任何行动。

该公司还强调,对于这两个更新所修复的任何问题,目前尚未发现野外利用。

此次披露之际,Adobe 表示,由于借助人工智能(AI)模型加速发现漏洞,自 2026 年 7 月 14 日起,其安全公告和通告的发布频率将从每月一次改为每月两次,分别在每月的第二个和第四个星期二发布。

Adobe 首席安全官 Aanchal Gupta 表示:“我们正在使用的前沿 AI 能力,攻击者也同样可以使用,而且从公开漏洞披露到实际利用之间的时间窗口正从数天压缩到数小时。我们正将 AI 用于优先发现和修复漏洞,而更快地将这些修复交付给客户,是自然而然的下一步。”