Adobe, ColdFusion ve Campaign Classic için Kritik Güvenlik Güncellemeleri Yayınladı
Adobe, ColdFusion ve Campaign Classic platformlarında kritik güvenlik açıklarını kapatan güncellemeler yayımladı. Kullanıcı etkileşimi gerektirmeyen bu açıklar, yüksek risk taşıyor.
Adobe, ColdFusion web uygulama geliştirme platformu ve Campaign Classic pazarlama otomasyon platformu için, maksimum şiddet derecesine sahip yedi güvenlik açığını kapatan güncellemeler yayınladı. Bu açıkların hepsi, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıkta saldırılarla istismar edilebiliyor ve öncelik 1 olarak etiketlenmiş durumda, bu da hedef alınma riskinin yüksek olduğunu gösteriyor.
Adobe, yaptığı açıklamada, "Bu güncelleme, belirli bir ürün versiyonu ve platform için hedef alınan veya daha yüksek hedef alma riski taşıyan güvenlik açıklarını çözmektedir. Yöneticilerin bu güncellemeyi mümkün olan en kısa sürede, örneğin 72 saat içinde kurmalarını öneriyoruz," dedi.
Şirket, salı günü yayımlanan bilgilendirme metinlerinde, "Adobe, bu güncellemelerde ele alınan sorunların hiçbiri için mevcut bir istismar olduğuna dair bir bilgiye sahip değildir," ifadesini ekledi.
Bu kritik güvenlik açıklarının altısı (CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316 ve CVE-2026-48282 olarak izlenmektedir) ColdFusion 2025.9, 2023.20 ve daha önceki sürümlerini etkilemekte ve saldırganlar, yetki olmadan yamanmamış sistemlerde uzaktan kod çalıştırma imkanı bulabilmektedir.
Campaign Classic platformundaki maksimum şiddet derecesine sahip güvenlik açığı (CVE-2026-48286 olarak izlenmektedir), 7.4.3 build 9396 ve daha önceki sürümleri etkilemekte ve başarılı bir istismar sonrasında mevcut kullanıcının bağlamında rastgele kod çalıştırmaya yol açabilmektedir.
Adobe'nin güvenlik bilgilendirmesine göre, CVE-2026-48286 yalnızca yerel Adobe Campaign örneklerini etkilemektedir; bu durum, tamamen yerel dağıtımlar ve hibrit dağıtımlardaki yerel bileşenleri kapsamaktadır. Zira bu açık, Adobe'nin barındırdığı örneklerde çoktan kapatılmıştır.
Adobe'nin Güvenlikten Sorumlu İcra Müdürü Aanchal Gupta, ayrıca şirketin güvenlik güncellemelerini daha hızlı bir şekilde yayınlamak için iki haftada bir güvenlik bülteni yayımlamaya geçeceğini duyurdu.
Gupta, "14 Temmuz 2026'dan itibaren, Adobe, güvenlik bültenlerini ve bilgilendirmelerini her ayın ikinci ve dördüncü Salı günü olmak üzere iki haftada bir yayımlamaya geçiyor," dedi. "Aktif olarak istismar edilen güvenlik açıkları veya dışarıdan keşfedilen sıfır gün güvenlik açıkları için, yanıt sürecimiz devam edecektir."
Adobe, ayrıca Nisan ayı başında, Aralık ayından bu yana sıfır gün saldırılarında istismar edilen bir Acrobat Reader açığını (CVE-2026-34621) kapatmak için acil güncellemeler de yayımlamıştı.
Son beş yıl içinde, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Adobe ürünlerinde aktif olarak istismar edilen 79 güvenlik açığını kataloguna ekledi; bunların 10'u ayrıca fidye yazılımları tarafından da istismar edilmiştir.
Güvenlik ekipleri, başarılı saldırıların %54'ünü kaydederken, yalnızca %14'ünde uyarı vermektedir. Kalanları ise ortamınızda görünmeden geçmektedir.
Picus'un beyaz kitabı, ihlal ve saldırı simülasyonlarının SIEM ve EDR kurallarınızı nasıl test ettiğini gösteriyor, böylece tehditlerin tespit edilmeden geçmesini engelliyorsunuz.
Yazar: Burak Arslan
Siber Güvenlik ve Donanım Uzmanı
Siber güvenlik, veri gizliliği ve donanım mimarileri alanında derinlemesine analizler yapan uzman.
Tüm yazılarını gör




