Критическая уязвимость в Adobe Campaign Classic: ошибки авторизации открывают путь для удаленного выполнения кода

vulnerability

В конце июня 2026 года специалисты зафиксировали новую критическую уязвимость в программной платформе Adobe Campaign Classic. Эта система предназначена для управления маркетинговыми кампаниями. Проблема связана с ошибками авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код на сервере. Инцидент зафиксирован в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-09199.

Детали уязвимости

Уязвимость получила идентификатор CVE-2026-48286. Она затрагивает все версии Adobe Campaign Classic вплоть до сборки build 9397 включительно. Речь идет о версии 7.4.3 и более ранних. Продукт работает как на операционной системе Linux, так и на Windows. Это делает проблему массовой, ведь платформой пользуются компании по всему миру.

Ошибка классифицирована как CWE-863. В переводе с языка классификаций это означает неправильную авторизацию. Иными словами, механизмы проверки прав доступа в системе работают некорректно. Злоумышленник может обойти их, не имея на то никаких разрешений. Ему даже не требуется проходить аутентификацию. Атака проводится удаленно через сеть, что значительно повышает опасность.

Базовый вектор уязвимости по шкале CVSS версии 3.1 составил максимальные 10 баллов. Это наивысший уровень опасности. Вектор выглядит так: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Расшифруем простыми словами: уязвимость эксплуатируется из сети без какого-либо доступа. Для этого не требуется ни сложных условий, ни привилегий, ни действий пользователя. Компрометация одной системы может затронуть и другие связанные ресурсы. В результате нарушитель получает полный контроль над конфиденциальностью, целостностью и доступностью данных. По версии CVSS 2.0 оценка также составляет 10 баллов.

Уязвимость относится к классу архитектурных проблем. То есть ошибка заложена не в конкретной части кода, а в самом принципе построения системы авторизации. Исправить ее можно только обновлением программного обеспечения. Производитель уже выпустил патч. Ссылка на рекомендации размещена на официальном сайте Adobe. Компания настоятельно рекомендует установить обновление версии 7.4.3 build 9397 или выше.

Последствия успешной атаки могут быть самыми серьезными. Adobe Campaign Classic используется в крупных компаниях для управления маркетинговыми рассылками, взаимодействия с клиентами, хранения личных данных. Выполнение произвольного кода на сервере дает нарушителю возможность установить вредоносное программное обеспечение, похитить базы данных клиентов, изменить контент кампаний или полностью парализовать работу системы. Более того, скомпрометированный сервер может стать точкой входа для атак на другие внутренние ресурсы организации.

Для специалистов по информационной безопасности это тревожный сигнал. Платформы для маркетинга часто остаются без должного внимания со стороны ИБ-отделов. Команды маркетинга используют их оперативно, обновления применяют не сразу, а доступ к таким системам может быть излишне широким. Между тем именно они хранят чувствительные данные клиентов: электронные почты, номера телефонов, историю покупок, поведенческие профили.

В текущей ситуации первоочередная мера защиты - установка обновления. Однако есть и общие рекомендации. Необходимо ограничить доступ к серверу Adobe Campaign Classic по сети. Следует использовать системы обнаружения вторжений (IDS) и межсетевые экраны, чтобы мониторить подозрительную активность. Также стоит проверить журналы событий на наличие попыток неавторизованного доступа. И наконец, важно сегментировать сеть, чтобы даже в случае компрометации маркетинговой платформы злоумышленник не мог легко перейти к другим критическим системам.

Производитель подтвердил устранение уязвимости. Но это не значит, что все пользователи автоматически защищены. Многие компании откладывают обновления из-за страха нарушить работу бизнес-процессов. В данном случае риск слишком высок. Откладывать патч нельзя. Критическая оценка в 10 баллов по CVSS - редкий и очень серьезный показатель. Промедление может стоить компании утечки данных и репутационных потерь.

Специалисты рекомендуют в ближайшие дни провести инвентаризацию всех экземпляров Adobe Campaign Classic в инфраструктуре. Затем необходимо применить обновление в тестовой среде и, при отсутствии проблем, развернуть его в продуктивной. Только так можно гарантировать, что уязвимость не будет использована против организации.

Ссылки

Комментарии: 0