Adobe Rilis Patch Darurat untuk Tujuh Celah Keamanan Kritis di ColdFusion dan Campaign Classic

Adobe merilis pembaruan keamanan untuk mengatasi tujuh kerentanan dengan tingkat keparahan maksimum yang memengaruhi platform ColdFusion dan Adobe Campaign Classic. Seluruh celah keamanan tersebut diberi Priority 1, yang menandakan risiko tinggi untuk menjadi target serangan sehingga administrator disarankan segera memasang pembaruan.
Meskipun Adobe menyatakan belum menemukan bukti eksploitasi aktif di dunia nyata, perusahaan tetap merekomendasikan pemasangan patch sesegera mungkin, idealnya dalam waktu 72 jam setelah pembaruan tersedia.
Enam Celah Kritis Mengancam Adobe ColdFusion
Sebanyak enam kerentanan kritis ditemukan pada Adobe ColdFusion, yaitu:
- CVE-2026-48276
- CVE-2026-48277
- CVE-2026-48281
- CVE-2026-48316
- CVE-2026-48282
- Satu kerentanan kritis lainnya yang juga telah diperbaiki dalam pembaruan terbaru.
Kerentanan tersebut memengaruhi:
- Adobe ColdFusion 2025 Update 9 dan versi sebelumnya
- Adobe ColdFusion 2023 Update 20 dan versi sebelumnya
Seluruh celah keamanan ini dapat dieksploitasi oleh penyerang tanpa hak istimewa melalui serangan dengan tingkat kompleksitas rendah dan berpotensi menghasilkan remote code execution (RCE) pada server yang belum diperbarui.
Adobe Campaign Classic Juga Terdampak
Adobe juga memperbaiki kerentanan CVE-2026-48286 pada Adobe Campaign Classic versi 7.4.3 build 9396 dan versi sebelumnya.
Apabila berhasil dieksploitasi, kelemahan ini memungkinkan penyerang menjalankan kode arbitrer dengan hak akses milik pengguna yang sedang aktif.
Adobe menegaskan bahwa kerentanan ini hanya memengaruhi implementasi on-premises, termasuk deployment hybrid yang masih menggunakan komponen lokal. Sementara itu, layanan Adobe Campaign yang dihosting langsung oleh Adobe telah lebih dahulu mendapatkan pembaruan sehingga tidak terdampak.
Adobe Beralih ke Jadwal Patch Dua Kali Sebulan
Bersamaan dengan pengumuman patch terbaru, Chief Security Officer (CSO) Adobe, Aanchal Gupta, mengungkapkan perubahan jadwal distribusi pembaruan keamanan.
Mulai 14 Juli 2026, Adobe akan menerbitkan Security Bulletins dan Security Advisories sebanyak dua kali setiap bulan, yaitu pada Selasa minggu kedua dan Selasa minggu keempat.
Langkah ini diambil agar proses distribusi patch keamanan dapat dilakukan lebih cepat. Untuk kerentanan zero-day atau eksploitasi aktif, Adobe tetap akan merilis pembaruan di luar jadwal reguler apabila diperlukan.
Adobe Terus Mempercepat Respons Keamanan
Sebelumnya, pada April 2026, Adobe juga merilis patch darurat untuk memperbaiki kerentanan CVE-2026-34621 pada Acrobat Reader yang diketahui telah dieksploitasi sebagai zero-day sejak Desember tahun sebelumnya.
Dalam lima tahun terakhir, Cybersecurity and Infrastructure Security Agency (CISA) telah memasukkan 79 kerentanan pada berbagai produk Adobe ke dalam Known Exploited Vulnerabilities (KEV) Catalog. Dari jumlah tersebut, 10 kerentanan diketahui pernah dimanfaatkan oleh kelompok ransomware dalam berbagai serangan siber.
Administrator yang menggunakan Adobe ColdFusion maupun Adobe Campaign Classic disarankan segera memperbarui sistem mereka untuk mengurangi risiko eksploitasi.








