Корпорация Adobe официально подтвердила существование сразу двух критических уязвимостей в платформе для управления маркетинговыми кампаниями Campaign Classic. Обе проблемы, зафиксированные в Банке данных угроз безопасности информации (BDU) под номерами BDU:2026-08392 (CVE-2026-47938) и BDU:2026-08393 (CVE-2026-48303), получили наивысшую оценку опасности по шкале CVSS 3.1 - 10 баллов из 10. Это означает, что угроза является максимально возможной и требует немедленных действий от администраторов.
Детали уязвимости
Суть проблемы кроется в механизмах авторизации. Ошибки типа CWE-863, известные как неправильная авторизация, позволяют злоумышленнику обойти проверки доступа и получить полный контроль над системой. При этом для атаки нарушителю не нужны никакие учётные данные или предварительные привилегии - достаточно лишь удалённого доступа к сети, где развёрнут Adobe Campaign Classic. Вдобавок, по оценке экспертов, уязвимости затрагивают не только архитектуру в целом, но и программный код, что делает их особенно опасными.
Платформа Adobe Campaign Classic широко используется крупными компаниями для автоматизации маркетинговых рассылок, управления клиентской базой и запуска рекламных кампаний. Обе уязвимости присутствуют в версиях, предшествующих релизу ACC v7: 7.4.3 build 9396. Причём проблема актуальна как для операционных систем на базе Linux, так и для Windows. Следовательно, под ударом оказываются десятки тысяч корпоративных серверов по всему миру, в том числе в российских компаниях, использующих данный продукт.
Чем грозит эксплуатация этих брешей? Согласно описанию, успешная атака позволяет выполнить произвольный код. Это самый опасный сценарий: злоумышленник может не только просматривать или копировать данные, но и внедрять собственные команды, устанавливать вредоносное ПО, шифровать файлы или похищать целые базы данных подписчиков. Учитывая, что в подобных платформах хранятся номера телефонов, адреса электронной почты, история покупок и иногда платёжные данные клиентов, объём утечки может быть катастрофическим.
Особую тревогу вызывает тот факт, что производитель уже подтвердил уязвимости, а точная информация о наличии публичного эксплойта пока уточняется. Впрочем, как показывает практика, когда уязвимость имеет рейтинг 10/10, вредоносный код для её эксплуатации нередко появляется в открытом доступе в течение нескольких недель. Тем не менее компания Adobe оперативно выпустила исправления. Ссылки на официальные бюллетени безопасности уже опубликованы: рекомендуется в кратчайшие сроки установить обновлённые сборки для версии ACC v7.
Для специалистов по информационной безопасности это тревожный сигнал. Платформы управления взаимоотношениями с клиентами (CRM) и системы маркетинговой автоматизации часто остаются на периферии внимания команды ИБ. Компании вкладывают ресурсы в защиту веб-сайтов и банковских систем, но забывают, что через модуль рассылки можно получить доступ ко всей внутренней сети.
Как показывает статистика, именно ошибки авторизации составляют значительную долю всех критических уязвимостей. Причина проста: разработчики зачастую полагаются на устаревшие механизмы проверки прав или не учитывают все возможные сценарии доступа. В случае с Adobe Campaign Classic ситуация усугубляется тем, что продукт работает на двух основных платформах, а значит, каждая конфигурация требует отдельной проверки.
Администраторам стоит немедленно проверить версию установленной платформы. Если сборка соответствует патчу 7.4.3 или новее, сервер защищён. В противном случае необходимо спланировать внеплановое обновление. Кроме того, до установки заплаток специалисты рекомендуют временно ограничить сетевой доступ к панели управления Adobe Campaign Classic из интернета, если это возможно. Хотя уязвимость классифицируется как удалённая, снижение поверхности атаки может дать время на развёртывание обновлений.
Вдобавок стоит обратить внимание на настройки межсетевых экранов и систем обнаружения вторжений (IDS). Внезапные всплески запросов к серверу Campaign Classic могут свидетельствовать о попытках сканирования или эксплуатации уязвимости. Журналы событий стоит сохранить для последующего анализа.
Этот инцидент лишний раз напоминает: даже самый качественный и популярный продукт может содержать брешь, способную поставить под удар весь бизнес. Для российских компаний, которые активно используют инструменты автоматизации маркетинга, особенно важно отслеживать обновления от вендора. В условиях роста числа атак на инфраструктуру критических информационных систем промедление с установкой заплаток может обернуться не только утечкой клиентских данных, но и серьёзными регуляторными санкциями.
Ссылки
- https://bdu.fstec.ru/vul/2026-08392
- https://bdu.fstec.ru/vul/2026-08393
- https://www.cve.org/CVERecord?id=CVE-2026-47938
- https://www.cve.org/CVERecord?id=CVE-2026-48303
- https://helpx.adobe.com/security/products/campaign/apsb26-66.html
- https://helpx.adobe.com/security/products/campaign/apsb26-66.html
