CRITICAL🇬🇧 English

CVE-2026-48303

RCE w Adobe Campaign Classic — błąd autoryzacji (CVE-2026-48303)

CVSS 10.0v3.1pub. 2026-06-09upd. 2026-06-12

Adobe Campaign Classic (ACC) zawiera krytyczną podatność nieprawidłowej autoryzacji (CWE-863), umożliwiającą zdalne wykonanie dowolnego kodu bez interakcji użytkownika. Podatność uzyskała maksymalny wynik CVSS 10.0 i zmienia zakres bezpieczeństwa poza atakowany komponent.

Pokaż oryginał (EN)

Adobe Campaign Classic (ACC) versions 7.4.3 build 9394 and earlier are affected by an Incorrect Authorization vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej weryfikacji uprawnień (Incorrect Authorization) w Adobe Campaign Classic. Atakujący nieuwierzytelniony, działający przez sieć, może bez żadnych dodatkowych warunków wstępnych i bez udziału ofiary wysłać specjalnie spreparowane żądanie, które prowadzi do wykonania arbitralnego kodu w kontekście bieżącego użytkownika aplikacji. Ponieważ zakres jest zmieniony (Scope: Changed), skutki mogą wykraczać poza bezpośrednio atakowany komponent systemu.

Skutki

Atakujący może wykonać dowolny kod na serwerze z uprawnieniami procesu Adobe Campaign Classic, co w praktyce oznacza pełne przejęcie kontroli nad systemem, kradzież danych kampanii marketingowych i danych osobowych klientów oraz potencjalny lateral movement w środowisku sieciowym.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z oficjalnym biuletynem bezpieczeństwa Adobe: https://helpx.adobe.com/security/products/campaign/apsb26-66.html. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji ACC wyłącznie do zaufanych adresów IP oraz monitorowanie logów pod kątem nieoczekiwanych żądań.

Kogo dotyczy

Adobe Campaign Classic (ACC) w wersji 7.4.3 build 9394 oraz wszystkich wcześniejszych wersjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Adobe Campaign

    APP
    Adobe
    7.4.3< 7.4.3
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit