Adobe, yayınladığı acil güvenlik güncellemeleriyle ColdFusion ve Campaign Classic ürünlerindeki 7 kritik açığı kapatırken, bunlardan 6'sı en yüksek risk seviyesi olan CVSS 10.0 puanına sahip. Şirket, yapay zeka destekli güvenlik taramaları sonucu keşfedilen bu açıkların aktif olarak istismar edildiğine dair henüz bir kanıt bulunmadığını ancak güncellemelerin hemen uygulanması gerektiğini vurguladı. Özellikle ColdFusion 2023 ve 2025 sürümlerini kullananların 21. ve 10. güncellemeleri yüklemeleri kritik önem taşıyor.
ColdFusion'da tespit edilen açıklar arasında, tehlikeli dosya türlerinin sınırsız yüklenmesine izin veren güvenlik zafiyetleri (CVE-2026-48276, CVE-2026-48283), hatalı girdi doğrulaması (CVE-2026-48277, CVE-2026-48281, CVE-2026-48316) ve yol geçişi (path traversal) zafiyetleri (CVE-2026-48282, CVE-2026-48313) bulunuyor. Bu açıkların tümü, saldırganların sistemde keyfi kod çalıştırmasına, ayrıcalık yükseltmesine, dosya okumasına ve güvenlik önlemlerini devre dışı bırakmasına olanak tanıyabiliyor. Özellikle CVE-2026-48282, kamuya ifşa edildikten saatler sonra Hindistan merkezli bir IP üzerinden aktif olarak istismar edilmeye başlandı.
Adobe Campaign Classic'te giderilen CVE-2026-48286 kodlu açık ise yine CVSS 10.0 puanına sahip ve yetkilendirme hatası nedeniyle saldırganın sistemde keyfi kod çalıştırmasına izin veriyor. Bu açık yalnızca şirket içi (on-premise) dağıtımları etkiliyor; Adobe tarafından barındırılan (hosted) örnekler zaten güncellenmiş durumda. WatchTowr Labs'ın analizine göre, ColdFusion yamaları ayrıca dosya taşıma, silme, dizin oluşturma ve listeleme gibi işlemlerdeki güvenlik açıklarını da sessizce kapatıyor.
Adobe, bu güncellemelerle birlikte, yapay zeka modellerinin güvenlik açıklarını daha hızlı tespit etmesi nedeniyle güvenlik bülteni yayınlama sıklığını ayda birden ayda ikiye çıkardığını duyurdu. Temmuz 2026'dan itibaren her ayın ikinci ve dördüncü Salı günü güvenlik güncellemeleri yayınlanacak. Adobe Güvenlik Şefi Aanchal Gupta, 'Yapay zeka yeteneklerimiz saldırganlar tarafından da kullanılıyor ve güvenlik açığının kamuya ifşası ile aktif istismar arasındaki süre günlerden saatlere indi. Biz de yapay zekayı önce açıkları bulup düzeltmek için kullanıyoruz ve bu düzeltmeleri müşterilere daha hızlı ulaştırmak doğal bir sonraki adım' ifadelerini kullandı.