Sechs CVSS 10.0 Schwachstellen im Juni Adobe reagiert auf KI-entdeckte Schwachstellen mit zweitem Patchday

Von Melanie Staudacher 3 min Lesedauer

Mehr Schwachstellen durch KI, erfordern schnellere Reaktion. Allein im Juni musste Adobe sechs Sicherheitslücken in ColdFusion mit maximalem Schweregrad schließen. Updates erscheinen deshalb künftig zwei­wöchentlich.

Am zweiten und am vierten Dienstag jeden Monats wird es künftig Sicherheitsupdates von Adobe geben.(Bild:  greenbutterfly - stock.adobe.com)
Am zweiten und am vierten Dienstag jeden Monats wird es künftig Sicherheitsupdates von Adobe geben.
(Bild: greenbutterfly - stock.adobe.com)

Eigentlich hat Adobe parallel zum Microsoft Patch Tuesday seinen Patchday an jedem zweiten Dienstag im Monat. Doch wie auch viele andere Hersteller hat Adobe mit der Flut an Schwach­stellen zu kämpfen, die durch Künstliche Intelligenz aufgedeckt wurden. Deshalb reagiert Adobe mit einer Anpassung der Patch-Zyklen. Neben der Veröffentlichung von Sicher­heits­updates an jedem zweiten Dienstag im Monat werden ab dem 14. Juli 2026 auch an jedem vierten Dienstag im Monat Updates veröffentlicht. Bereits im Juni 2026 musste der Hersteller außerplanmäßig ein Security Bulletin veröffentlichen, da insgesamt elf Si­cher­heitslücken gefunden wurden, sechs davon erhielten den maximalen Schweregrad von 10.0.

Kritische Sicherheitslücken in ColdFusion

Das jüngste Bulletin wurde am 30. Juni veröffentlicht und die darin gelisteten Schwachstellen betreffen die Webentwicklungsplattform ColdFusion. Die 2025er Variante ist in den Versionen 9 und älter betroffen, Variante 2023 in den Versionen 20 und älter.

EUVD- / CVE-Nummer Schwachstellentyp CVSS-Score, EPSS-Score
EUVD-2026-40340 / CVE-2026-48276 Unkontrollierter Upload gefährlicher Dateitypen 10.0, 0.92
EUVD-2026-40345 / CVE-2026-48277 Unzureichende Eingabevalidierung 10.0, 0.86
EUVD-2026-40346 / CVE-2026-48281 Unzureichende Eingabevalidierung 10.0, 0.86
CVE-2026-48316 (EUVD-ID noch nicht vergeben) Unzureichende Eingabevalidierung 10.0
EUVD-2026-40339 / CVE-2026-48282 Path Traversal 10.0, 1.02
EUVD-2026-40338 / CVE-2026-48283 Unkontrollierter Upload gefährlicher Dateitypen 10.0, 0.63
EUVD-2026-40343 / CVE-2026-48313 Path Traversal 9.3, 0.48
EUVD-2026-40347 / CVE-2026-48315 Unzureichende Eingabevalidierung 9.3, 0.55
EUVD-2026-40342 / CVE-2026-48307 Cross-Site Scripting 8.8, 0.31
EUVD-2026-40344 / CVE-2026-48285 Server-Side Request Forgery 8.6, 0.44
EUVD-2026-40341 / CVE-2026-48314 Path Traversal 6.5, 0.33

Behoben wurden die Anfälligkeiten mit Version 10 für ColdFusion 2025 und Version 21 für ColdFusion 2023. Doch bei dieser außerplanmäßigen Patch-Veröffentlichung bleibt es für Adobe-Kunden nicht.

Korrekturen werden schneller geteilt

Die Geschwindigkeit, mit der Sicherheitslücken dank Künstlicher Intelligenz gefunden werden können, hat sich drastisch erhöht. Und damit auch der Umfang der Meldungen. Auch Adobe setzt für die Schwach­stellenerkennung auf Frontier-KI und agentenbasierte Analystetools, wie der Hersteller in einem Blogbeitrag erläutert. Diese Methode habe bereits einige Schwach­stellen mit kritischem Risiko ans Licht gebracht, die bei herkömmlichen, punktuellen Prüfverfahren im gleichen Zeitrahmen unentdeckt geblieben wären.

Doch nicht nur Hersteller setzen auf KI. Auch Angreifern stehen diese Methoden zur Verfügung, weshalb sich der Zeitraum zwischen der öffentlichen Bekanntgabe einer Schwachstelle und ihrer aktiven Ausnutzung enorm verkürzt. Teilweise von Tagen auf Stunden. Für Adobe sei es deshalb der nächste logische Schritt, Code-Korrekturen schneller bereitzustellen. Aus diesem Grund werde der Anbieter die Veröffentlichung von Security Bulletins ab dem 14. Juli 2026 von einem monatlichen auf einen zweiwöchentlichen Rhythmus umstellen. Jeweils am zweiten und am vierten Dienstag eines Monats sollen die Kunden Patches zu neuen Sicherheitslücken erhalten. Dies werde für alle Hinweise gelten, die eine offiziell veröffentlichte CVE-Kennung enthalten und Maßnahmen seitens der Kunden erfordern.

Adobe ist nicht die erste Organisation, die auf die Zunahme von mit KI entdeckten Schwach­stellen, reagiert. Dem National Institute of Standards and Technology (NIST) nach hat die Zahl der CVE-Meldungen innerhalb von fünf Jahren um 263 Prozent zugenommen. Deswegen hat das Institut, das die National Vulnerability Database (NVD) betreibt, ein risikobasiertes Modell eingeführt, um das neue Volumen an Meldungen verwalten zu können.

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50889946)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung