أطلقت أدوبي تحديثات عاجلة لمعالجة ثغرات ColdFusion وAdobe Campaign Classic، بينها 7 ثغرات بدرجة خطورة قصوى 10/10 قد تهدد الخوادم المحلية.
ما هي ثغرات أدوبي الجديدة في ColdFusion؟
تركز التحديثات الأخيرة على منصة ColdFusion بعد اكتشاف مجموعة من الثغرات الحرجة والمهمة التي قد تسمح للمهاجمين بتنفيذ أوامر برمجية عن بُعد أو رفع الصلاحيات أو قراءة ملفات من النظام.
وبحسب التفاصيل التي تابعها تيكبامين، فإن بعض هذه الثغرات حصل على أعلى تقييم ممكن في مقياس CVSS، ما يعكس حجم الخطر على المؤسسات التي تعتمد على الإصدارات غير المحدثة.
أبرز المخاطر التي تعالجها التحديثات
- تنفيذ تعليمات برمجية عشوائية على الخادم
- رفع الامتيازات والوصول إلى صلاحيات أعلى
- قراءة ملفات من نظام التشغيل دون تصريح
- تجاوز خصائص وإعدادات الحماية
هذه النوعية من الثغرات تستهدف عادة البيئات المؤسسية الحساسة، خصوصاً عندما تكون الخوادم متصلة بالإنترنت أو تستخدم في تشغيل تطبيقات داخلية مهمة.
ما الإصدارات التي حصلت على التحديث الأمني من أدوبي؟
أوضحت الشركة أن الإصلاحات وصلت إلى ColdFusion 2023 Update 21 وColdFusion 2025 Update 10. وهذا يعني أن أي مؤسسة ما زالت تعمل بإصدار أقدم مطالبة بالترقية فوراً لتقليل سطح الهجوم.
- ColdFusion 2023: التحديث الأمني Update 21
- ColdFusion 2025: التحديث الأمني Update 10
- Adobe Campaign Classic v7: الإصدار 7.4.3 build 9397
كما نُسب اكتشاف بعض الثغرات إلى باحثين أمنيين من بينهم Anirudh Anand وMatan Sandori و2Bsecure، وهو ما يؤكد استمرار التدقيق المكثف في منتجات أدوبي المؤسسية.
كيف تؤثر الثغرة على Adobe Campaign Classic؟
لم تقتصر التحديثات على ColdFusion فقط، إذ أصدرت أدوبي أيضاً إصلاحاً لثغرة حرجة في Adobe Campaign Classic تحمل المعرف CVE-2026-48286 وبدرجة خطورة 10.0 من 10.
وتعود المشكلة إلى تفويض غير صحيح قد يسمح بتنفيذ كود عشوائي على الأنظمة المتأثرة، ما يرفع احتمالات السيطرة على الخادم إذا لم يتم تطبيق التصحيح في الوقت المناسب.
من هم المستخدمون المتأثرون؟
- إصدارات ACC v7: 7.4.3 build 9396 وما قبلها
- أنظمة Windows وLinux
- النسخ المحلية On-premise بالكامل
- المكونات المحلية ضمن البيئات الهجينة
في المقابل، أشارت أدوبي إلى أن النسخ المستضافة من طرفها تم تحديثها بالفعل، لذلك لا تحتاج هذه الفئة من العملاء إلى أي إجراء إضافي حالياً.
هل تم استغلال ثغرات أدوبي بالفعل؟
حتى الآن، قالت الشركة إنها لم ترصد أي استغلال فعلي لهذه الثغرات في الهجمات الواقعية. لكن هذا لا يقلل من أهمية التحرك السريع، لأن نافذة الزمن بين إعلان الثغرة واستغلالها أصبحت أقصر بكثير.
وأعلنت أدوبي أيضاً أنها ستنتقل إلى نشر النشرات الأمنية مرتين شهرياً بدلاً من مرة واحدة، في خطوة تعكس تسارع اكتشاف الثغرات بفعل أدوات الذكاء الاصطناعي. ووفقاً لما يرصده تيكبامين، فإن ثغرات أدوبي الأخيرة تضع فرق الأمن السيبراني أمام أولوية واضحة: التحديث الفوري ومراجعة الأنظمة المحلية دون تأخير.