Adobe Tambal Tujuh Celah Kritis di ColdFusion dan Campaign Classic, Admin Diminta Segera Melakukan Update

Adobe merilis pembaruan keamanan untuk mengatasi tujuh kerentanan dengan tingkat keparahan maksimum yang memengaruhi platform ColdFusion dan Adobe Campaign Classic. Perusahaan mengimbau administrator untuk segera menginstal pembaruan tersebut karena seluruh celah memiliki risiko tinggi menjadi sasaran serangan siber.
Menurut Adobe, seluruh kerentanan ini dapat dieksploitasi melalui serangan dengan tingkat kompleksitas rendah dan tidak memerlukan interaksi dari pengguna.
Enam Celah Kritis Mengancam Adobe ColdFusion
Sebanyak enam kerentanan ditemukan pada platform pengembangan aplikasi web Adobe ColdFusion. Kerentanan tersebut terdaftar dengan identitas:
- CVE-2026-48276
- CVE-2026-48277
- CVE-2026-48281
- CVE-2026-48316
- CVE-2026-48282
- Satu kerentanan kritis lainnya yang termasuk dalam pembaruan keamanan terbaru.
Seluruh celah tersebut memengaruhi:
- ColdFusion 2025 Update 9 dan versi sebelumnya
- ColdFusion 2023 Update 20 dan versi sebelumnya
Apabila berhasil dieksploitasi, penyerang yang tidak memiliki hak akses dapat menjalankan Remote Code Execution (RCE) pada server yang belum diperbarui.
Campaign Classic Juga Terdampak
Selain ColdFusion, Adobe juga memperbaiki kerentanan CVE-2026-48286 pada Adobe Campaign Classic.
Celah ini memengaruhi:
- Adobe Campaign Classic 7.4.3 Build 9396 dan versi sebelumnya
Eksploitasi yang berhasil memungkinkan penyerang menjalankan kode arbitrer dalam konteks akun pengguna yang sedang aktif.
Adobe menjelaskan bahwa kerentanan ini hanya berdampak pada implementasi on-premises, baik yang sepenuhnya dijalankan di infrastruktur pelanggan maupun komponen lokal pada deployment hybrid.
Untuk layanan Adobe Campaign yang dihosting langsung oleh Adobe, perbaikan keamanan telah diterapkan sebelumnya.
Adobe Minta Update Maksimal 72 Jam
Seluruh kerentanan tersebut memperoleh Priority 1, yaitu kategori yang menunjukkan risiko tinggi menjadi target eksploitasi.
Adobe merekomendasikan administrator untuk memasang pembaruan keamanan sesegera mungkin, idealnya dalam waktu 72 jam setelah patch tersedia.
Meski demikian, perusahaan menyatakan belum menemukan bukti adanya eksploitasi aktif terhadap kerentanan yang diperbaiki dalam pembaruan kali ini.
Adobe Ubah Jadwal Rilis Patch Keamanan
Bersamaan dengan pengumuman patch terbaru, Chief Security Officer (CSO) Adobe, Aanchal Gupta, juga mengumumkan perubahan jadwal publikasi buletin keamanan.
Mulai 14 Juli 2026, Adobe akan merilis pembaruan keamanan dua kali setiap bulan, yaitu pada:
- Selasa minggu kedua.
- Selasa minggu keempat.
Perubahan ini dilakukan agar proses distribusi patch dapat berlangsung lebih cepat dibandingkan skema sebelumnya yang hanya dilakukan sekali setiap bulan.
Sementara itu, apabila ditemukan kerentanan zero-day atau eksploitasi aktif di luar jadwal, Adobe tetap akan merilis pembaruan darurat (out-of-band) seperti yang selama ini diterapkan.
Adobe Masih Menjadi Target Serangan
Dalam beberapa tahun terakhir, produk Adobe kerap menjadi sasaran serangan siber.
Bahkan, pada awal April lalu perusahaan juga merilis patch darurat untuk memperbaiki kerentanan pada Adobe Acrobat Reader yang diketahui telah dieksploitasi sebagai zero-day sejak akhir 2025.
Data dari Cybersecurity and Infrastructure Security Agency (CISA) menunjukkan bahwa selama lima tahun terakhir terdapat 79 kerentanan pada produk Adobe yang masuk ke dalam daftar Known Exploited Vulnerabilities (KEV), dan 10 di antaranya diketahui pernah dimanfaatkan oleh kelompok ransomware.
Sumber: Adobe








