Adobe выпустила июньский набор обновлений безопасности и закрыла 123 уязвимости в 11 продуктах. В список попали Experience Manager, Experience Manager Forms, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK, Dreamweaver, Acrobat Reader, ColdFusion, Format Plugins и Campaign Classic.
Самые опасные ошибки нашли в Adobe Campaign Classic. Две уязвимости — CVE-2026-48303 и CVE-2026-47938 — получили CVSS 10.0 из 10. Это максимальная оценка по шкале. Обе связаны с некорректной авторизацией и могут привести к выполнению произвольного кода. Уязвима версия ACC v7 7.4.3 build 9394 и более ранние сборки для Windows и Linux. Исправление включено в ACC v7 7.4.3 build 9396.
Второй блок, на который стоит смотреть администраторам, — ColdFusion. Adobe закрыла семь уязвимостей в ColdFusion 2025 и ColdFusion 2023. Затронуты ColdFusion 2025 Update 8 и более ранние версии, а также ColdFusion 2023 Update 19 и более ранние версии. Исправления вышли в ColdFusion 2025 Update 9 и ColdFusion 2023 Update 20.
В ColdFusion закрыты ошибки, которые могут привести к выполнению произвольного кода, повышению привилегий, обходу защитных механизмов и чтению файловой системы. Самая высокая оценка в этом наборе — 9.6 у CVE-2026-47928. Ещё несколько проблем получили критический уровень: CVE-2026-47932, CVE-2026-47929, CVE-2026-47931, CVE-2026-47930 и CVE-2026-47960. Одна уязвимость со средним практическим риском для многих установок получила уровень Important — CVE-2026-47933.
Больше всего CVE в июньском выпуске пришлись на Adobe Experience Manager. В AEM закрыто 57 уязвимостей. Основная масса — XSS, то есть межсайтовый скриптинг. Злоумышленник внедряет скрипт в веб-интерфейс, а браузер другого пользователя выполняет его как доверенный код страницы.
AEM Cloud Service получает исправления автоматически в релизе 2026.05. Для локальных установок Adobe рекомендует обновиться до AEM 6.5 LTS Service Pack 2 или AEM 6.5 Service Pack 25. Уязвимыми указаны AEM Cloud Service, AEM 6.5 LTS SP1 и более ранние версии, а также SP24 и более ранние версии в ветке 6.5.
Отдельный бюллетень вышел для Adobe Experience Manager Forms на Java Enterprise Edition. Там закрыты три XSS-уязвимости: CVE-2026-34691, CVE-2026-34693 и CVE-2026-34694. Две получили критический уровень и могут привести к выполнению произвольного кода. Затронуты AEM 6.5 LTS SP1 и более ранние версии, а также AEM 6.5 6.5.24.0 и более ранние версии. Исправления доступны в AEM 6.5 LTS SP2 и AEM 6.5 6.5.25.0.
Acrobat и Acrobat Reader получили 20 исправлений для Windows и macOS. Уязвимы Acrobat и Acrobat Reader Continuous 26.001.21651 и более ранние версии, а также Acrobat 2024 Classic 24.001.30365 и более ранние версии. Исправленные сборки: 26.001.21662 для Continuous-ветки и 24.001.30383 для Acrobat 2024 Classic.
В Acrobat закрыты ошибки use-after-free, переполнения буфера, выход за границы памяти, неконтролируемый путь поиска и другие проблемы. Многие из них могут привести к выполнению кода при открытии специально подготовленного PDF-файла.
InDesign получил 12 исправлений. В списке — переполнение стека, переполнение кучи, use-after-free, запись за пределами памяти, отказ в обслуживании и раскрытие памяти. Уязвимы версии ID21.3 и ID20.5.3 и более ранние сборки для Windows и macOS. Исправления доступны в ID21.4 и ID20.5.4.
InCopy получил три критические уязвимости: CVE-2026-34706, CVE-2026-34707 и CVE-2026-34708. Все три могут привести к выполнению произвольного кода. Уязвимы версии 21.3 и 20.5.3 и более ранние сборки. Исправленные версии — 21.4 и 20.5.4.
Dreamweaver получил пять исправлений. Среди них три критические уязвимости с возможностью выполнения произвольного кода: CVE-2026-47906, CVE-2026-47907 и CVE-2026-47908. Ещё две ошибки могут привести к чтению файловой системы. Уязвимы версии 21.7 и более ранние для Windows и macOS. Исправленная версия — 21.8.
Substance 3D Sampler получил четыре исправления. Все связаны с записью за пределами памяти и могут привести к выполнению произвольного кода. Уязвимы версии 6.0.0 и более ранние. Исправленная версия — 6.0.1.
Content Credentials SDK получил восемь исправлений. Content Credentials — это стек для работы с данными о происхождении и изменениях цифрового контента. Там закрыты ошибки, которые могут привести к отказу в обслуживании и произвольной записи в файловую систему. Уязвимы Content Credentials JS SDK @contentauth/c2pa-web@0.7.1 и более ранние версии, а также Rust SDK c2pa-v0.80.1 и более ранние. Исправленные версии — @contentauth/c2pa-web@0.8.3 и c2pa-v0.85.1.
Adobe Format Plugins получил два исправления: CVE-2026-48291 и CVE-2026-48292. Обе уязвимости связаны с переполнением кучи и могут привести к выполнению произвольного кода. Уязвимы версии 1.1.2 и более ранние, исправление вышло в версии 1.1.3.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
