Adobe veröffentlicht Priorität-1-Patches für zwölf Produkte. Kritische Lücken in ColdFusion und Commerce erlauben unbefugte Codeausführung.
Adobe hat im Rahmen seines aktuellen Patchdays Sicherheitsupdates für zwölf Produktlinien bereitgestellt, um insgesamt 88 Schwachstellen zu schließen. Besonders im Fokus stehen 13 Sicherheitsmängel in der Webanwendungs-Plattform ColdFusion. Acht dieser Schwachstellen, darunter die Kennungen CVE-2026-48318, CVE-2026-48322 und CVE-2026-48284, wurden als kritisch eingestuft. Sie umfassen technische Defekte wie Code-Injektionen, SQL-Injektionen, unzureichende Eingabevalidierung, Pfadtraversierung sowie fehlende Authentifizierungsprüfungen.
Diese Fehler ermöglichen Angreifern die Ausführung von beliebigem Programmcode und die unbefugte Ausweitung von Systemrechten. Die Fehler werden in ColdFusion 2025 Update 11 und ColdFusion 2023 Update 22 behoben. Adobe hat die Updates mit der höchsten Prioritätsstufe 1 versehen. Diese Veröffentlichung folgt nur zwei Wochen auf ein vorheriges Notfall-Update für ColdFusion, bei dem eine Schwachstelle bereits kurz nach der Bekanntgabe aktiv ausgenutzt wurde.
Codeausführung in Commerce und Experience Manager möglich
Neben ColdFusion weisen drei weitere Kernprodukte kritische Sicherheitslücken auf. In der E-Commerce-Plattform Adobe Commerce wurden 13 Mängel behoben, von denen zwei als kritisch bewertet wurden. Die Lücken CVE-2026-48356 and CVE-2026-48358 erlauben ebenfalls eine Rechteausweitung und Codeausführung. Im Content-Management-System Adobe Experience Manager schlossen die Entwickler ebenfalls 13 Sicherheitslücken, darunter die zwei kritischen Fehler CVE-2026-48259 und CVE-2026-48359. Für die Grafiksoftware Adobe Illustrator wurde eine kritische Schwachstelle wegen fehlerhafter Eingabevalidierung unter der Kennung CVE-2026-48334 korrigiert, die zur Rechteausweitung führen kann.
Updates für die Creative Cloud und weitere Anwendungen
Die restlichen Korrekturen verteilen sich auf verschiedene Anwendungen des Herstellers. Updates erhielten das Content Credentials SDK mit zwölf Korrekturen sowie die Programme Animate, Audition und Bridge mit jeweils sechs geschlossenen Sicherheitslücken. Zudem wurden Fehler im Media Encoder mit PDF-Patches, in Premiere Pro mit vier Patches, in After Effects mit drei Patches sowie in der Creative Cloud Desktop-Anwendung mit zwei Fehlerbehebungen beseitigt. Nach Angaben von Adobe liegen dem Unternehmen bis zum Zeitpunkt der Veröffentlichung keine Erkenntnisse über eine aktive Ausnutzung der behobenen Schwachstellen in der Praxis vor. Anwendern wird dringend empfohlen, die bereitgestellten Aktualisierungen zeitnah zu installieren.
(red)