// HEISE ONLINE — CYBERSECURITY
Lücken in Adobe ColdFusion und Campaign Classic: Patchdayzyklus verdoppelt
Wichtige Sicherheitsupdates schließen kritische Schadcode-Lücken in Adobe ColdFusion und Campaign Classic. Ab sofort sollen Patches häufiger erscheinen.
Adobes Enterprise-Marketing-Automatisierungslösung Campaign Classic und die Web-Anwendungsplattform sind über mehrere „kritische“ Sicherheitslücken mit Höchstwertung angreifbar. Nach erfolgreichen Attacken kann Schadcode Computer vollständig kompromittieren. Admins sollten die verfügbaren Sicherheitsupdates zeitnah installieren. Überdies will der Softwarehersteller ab sofort zweimal pro Monat Sicherheitspatches verteilen.
Wie aus einer aktuellen Warnmeldung zu ColdFusion hervorgeht, haben die Entwickler insgesamt elf Sicherheitslücken geschlossen. Davon sind alle Plattformen betroffen. Acht der Schwachstellen sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Für sechs Lücken (CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316, CVE-2026-48282, CVE-2026-48283) wurde der maximale CVSS Score 10 von 10 vergeben.
Vom CVSS Score leitet sich der Schweregrad einer Lücke und dementsprechend die Priorisierung von Sicherheitsupdates ab. Demzufolge sollten Admins umgehend handeln, um Systeme vor möglichen Attacken zu schützen. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.
Um in diesen Fällen Schadcode auf Systeme zu schieben, können Angreifer präparierte Dateien auf einem nicht näher beschriebenen Weg hochladen. Alternativ gelingt das aufgrund einer unzureichenden Eingabevalidierung. Das lässt darauf schließen, dass bestimmte Eingaben nicht ausreichend überprüft werden und so von Angreifern manipulierte Befehlsketten durchkommen.
Eine weitere Sicherheitslücke mit Höchstwertung (CVE-2026-48286 „kritisch“) bedroht einem Beitrag zufolge Campaign Classic unter Linux und Windows. Auch hier ist die Beschreibung der Schwachstelle wie von Adobe gewohnt knapp. Dort ist lediglich die Rede von einer falschen Autorisierung.
Damit Angreifer nicht an den Lücken ansetzen können, müssen Admins Campaign Classic ACC v7: 7.4.3 build 9397 und ColdFusion 2023 Update 21 oder ColdFusion 2025 Update 10 installieren. Alle vorigen Versionen sind den Entwicklern zufolge verwundbar.
In einem Beitrag schreibt Adobe, dass sie ab sofort zweimal pro Monat Sicherheitsupdates veröffentlichen wollen. Bislang geschah das immer einmal pro Monat am zweiten Dienstag im Monat. Nun gibt es zusätzlich am vierten Dienstag Patches. Als Grund dafür gibt Adobe an, dass Angreifer in Zeiten von KI jüngst bekannt gewordene Schwachstellen bereits nach wenigen Stunden statt Tagen ausnutzen. Demzufolge müssen Updates schneller erscheinen.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.