Adobe, ColdFusion ve Campaign Classic ürünlerinde keşfedilen 7 adet CVSS 10.0 puanlı kritik güvenlik açığını kapatan yamaları yayınladı. Bu zafiyetler, saldırganların sistemlerde uzaktan kod çalıştırmasına, yetki yükseltmesine ve keyfi dosya okumasına olanak tanıyor. Adobe, söz konusu açıkların henüz aktif olarak istismar edilmediğini belirtse de, güncellemelerin bir an önce uygulanması kritik önem taşıyor.
ColdFusion için yayınlanan güncellemeler (ColdFusion 2023 Update 21 ve ColdFusion 2025 Update 10) ile 6 güvenlik açığı kapatıldı. Bunlar arasında CVE-2026-48276, CVE-2026-48283, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316 (CVSS 10.0) ve CVE-2026-48282 (CVSS 10.0) yer alıyor. Ayrıca CVE-2026-48313 (CVSS 9.3) ve CVE-2026-48315 (CVSS 9.3) gibi yüksek önem dereceli açıklar da düzeltildi.
Adobe Campaign Classic tarafında ise CVE-2026-48286 (CVSS 10.0) olarak izlenen bir yetkilendirme hatası giderildi. Bu açık, yalnızca şirket içi (on-premise) dağıtımları etkiliyor. Adobe tarafından barındırılan (hosted) örnekler otomatik olarak güncellendi ve herhangi bir işlem gerektirmiyor. Kullanıcıların ACC v7: 7.4.3 build 9397 sürümüne güncelleme yapmaları öneriliyor.
Uzmanların Görüşleri
Güvenlik araştırmacısı Sina Kheirkhah, CVE-2026-48276'nın dosya yükleme yolu geçişi (path traversal) zafiyeti olduğunu ve yamanın jspf, cfmail, war gibi uzantıları engellediğini belirtti. watchTowr Labs ise CVE-2026-48282'nin keyfi dosya yazma, CVE-2026-48313'ün ise keyfi dosya okuma zafiyeti olduğunu tespit etti. Adobe, gelecekte yapay zeka destekli güvenlik bültenlerini ayda iki kez yayınlayacağını duyurdu.