Adobe выпустила внеплановое обновление безопасности для программы Adobe Dreamweaver Desktop, которое закрывает шесть уязвимостей, в том числе критические, ведущие к выполнению произвольного кода. Патч вышел 9 июня 2026 года и предназначен для версий 21.7 и более ранних на Windows и macOS.
Детали уязвимостей
Пять из шести обнаруженных проблем получили идентификаторы CVE-2026-47906, CVE-2026-47907, CVE-2026-47908, CVE-2026-47909, CVE-2026-47910, а также CVE-2026-21272. Самые опасные из них - CVE-2026-47906, CVE-2026-47907 и CVE-2026-21272 - имеют базовую оценку по шкале CVSS v3 8,6 (критический уровень). Ещё одна критическая уязвимость CVE-2026-47908 оценена в 7,8 балла. Оставшиеся две проблемы (CVE-2026-47909 и CVE-2026-47910) отнесены к категории "важные" с оценкой 6,3.
Все перечисленные уязвимости эксплуатируются через взаимодействие с пользователем. Злоумышленнику необходимо убедить жертву открыть в Dreamweaver специально сформированный вредоносный файл. При этом не требуется наличие учётной записи с особыми привилегиями, а сложность атаки оценивается как низкая.
В основе проблем лежат несколько классов программных ошибок. Прежде всего это использование уязвимого стороннего компонента (CWE-1395) и некорректная проверка входных данных (CWE-20). В первом случае речь идёт о зависимости от библиотек, содержащих известные уязвимости. Во втором - о недостаточной фильтрации данных, поступающих из файла, что позволяет злоумышленнику внедрить произвольный код. Кроме того, обнаружены ошибки неправильной авторизации (CWE-863) и некорректного контроля доступа, которые при открытии вредоносного файла дают возможность читать произвольные файлы на системе без надлежащих прав. Ещё один дефект связан с доступом к неинициализированному указателю, что может привести к повреждению памяти.
В случае успешной эксплуатации уязвимостей возможны следующие последствия: выполнение произвольного кода в контексте текущего пользователя, чтение произвольных файлов из файловой системы и запись файлов за счёт обхода проверок ввода. Это ставит под угрозу конфиденциальность данных, целостность системы и доступность приложения.
Adobe подчёркивает, что на момент выпуска обновления ей не известно о случаях использования этих уязвимостей в реальных атаках. Тем не менее компания рекомендует всем пользователям как можно скорее установить патч. Обновлённая версия - Dreamweaver 21.8. Установить её можно через Creative Cloud Desktop App или через меню "Справка" в самом приложении, выбрав пункт "Обновления".
Поскольку Dreamweaver активно используется веб-разработчиками и дизайнерами, уязвимости такого класса представляют серьёзную угрозу для корпоративных сред. Если злоумышленник добьётся открытия вредоносного файла через фишинговое письмо или другой вектор социальной инженерии, он сможет получить полный контроль над рабочим компьютером жертвы в контексте её учётной записи. Это особенно опасно в организациях, где разработчики имеют доступ к системам контроля версий, базам данных и другим критическим ресурсам.
Организациям, использующим управляемые среды, следует обновить пакеты распространения через Creative Cloud Packager. Администраторам стоит как можно быстрее развернуть версию 21.8 на всех рабочих станциях, где установлен Dreamweaver. Промедление с установкой патча оставляет системы открытыми для атак, которые могут привести к краже исходного кода, учётных данных или компрометации внутренней инфраструктуры.
URLs
