
Adobe ha lanzado parches para múltiples fallas de seguridad de máxima gravedad que afectan a Adobe ColdFusion y Adobe Campaign Classic.
La actualización de ColdFusion «resuelve vulnerabilidades críticas que podrían conducir a la ejecución de código arbitrario, escalada de privilegios, lectura de sistemas de archivos arbitrarios o eludir funciones de seguridad», dijo Adobe en una alerta publicada el martes.
Las vulnerabilidades se enumeran a continuación:
CVE-2026-48276, CVE-2026-48283 (Puntuación CVSS: 10.0) – Carga sin restricciones de archivos con un tipo peligroso de vulnerabilidad que puede conducir a la ejecución de código arbitrario CVE-2026-48277, CVE-2026-48281, CVE-2026-48316 (Puntuación CVSS: 10.0) – CVE-2026-48282 (puntuación CVSS: 10,0): vulnerabilidad de validación de entrada incorrecta que puede provocar la ejecución de código arbitrario CVE-2026-48313 (puntuación CVSS: 9,3): vulnerabilidad de recorrido de ruta que puede provocar la ejecución de código arbitrario Lectura del sistema de archivos CVE-2026-48315 (puntuación CVS: 9,3): vulnerabilidad de validación de entrada incorrecta que puede provocar escalada de privilegios
Este problema se resolvió en ColdFusion 2023 Update 21 y ColdFusion 2025 Update 10. A los investigadores de seguridad Anirudh Anand, Matan Sandori y 2Bsecure se les atribuye el descubrimiento y la notificación de CVE-2026-48283, CVE-2026-48313 y CVE-2026-48307.
Por otra parte, Adobe también lanzó una solución para resolver una falla crítica en Adobe Campaign Classic que afecta a las versiones ACC v7: 7.4.3 build 9396 y anteriores para Windows y Linux y puede provocar la ejecución de código arbitrario.
Esta vulnerabilidad se rastrea como CVE-2026-48286 (puntuación CVSS: 10.0) y la autenticación incorrecta podría permitir a un atacante ejecutar código arbitrario en un sistema afectado. Versión ACC v7: parcheada con 7.4.3 compilación 9397.
Adobe dijo que CVE-2026-48286 solo afecta a las instancias locales de Adobe Campaign, incluidos los componentes locales en implementaciones locales completas e implementaciones híbridas. No es necesario realizar ninguna acción ya que la instancia alojada en Adobe ya se actualizó.
La compañía también enfatizó que no se han encontrado exploits con respecto a ninguno de los problemas abordados como parte de las dos actualizaciones.
Esta divulgación sigue al anuncio de Adobe de que pasará de publicar boletines y avisos de seguridad dos veces al mes a dos veces al mes, el segundo y cuarto martes de cada mes, a partir del 14 de julio de 2026, como resultado directo del uso de modelos de inteligencia artificial (IA) para acelerar el descubrimiento de vulnerabilidades.
«Las capacidades de inteligencia artificial de vanguardia que utilizamos también están disponibles para los atacantes, lo que reduce el tiempo entre la divulgación de la vulnerabilidad y la explotación activa de días a horas», dijo Aanchal Gupta, director de seguridad de Adobe. «Aplicamos IA para encontrar y corregir vulnerabilidades en primer lugar, y hacer llegar esas correcciones a los clientes más rápido es el siguiente paso natural».
Source link
