
Meta Description: Adobe merilis patch untuk tujuh celah kritis dengan skor CVSS 10.0 di ColdFusion dan Campaign Classic. Simak dampak, versi terdampak, dan langkah mitigasinya.
Adobe kembali merilis pembaruan keamanan penting. Kali ini, patch ditujukan untuk Adobe ColdFusion dan Adobe Campaign Classic.
Masalah ini perlu mendapat perhatian serius. Sebab, beberapa celah memiliki skor CVSS 10.0. Skor ini menunjukkan tingkat risiko paling tinggi.
Jika tidak segera diperbaiki, celah tersebut bisa membuka jalan bagi penyerang. Dampaknya dapat berupa eksekusi kode, akses file, eskalasi hak akses, hingga bypass fitur keamanan.
Mengapa Patch Ini Penting?
ColdFusion dan Campaign Classic sering dipakai di lingkungan perusahaan. Keduanya dapat memproses data penting dan terhubung ke sistem bisnis.
Karena itu, celah pada produk ini tidak boleh diabaikan. Jika server terbuka ke internet, risikonya bisa lebih besar.
Selain itu, penyerang sering bergerak cepat setelah celah dipublikasikan. Mereka dapat memindai sistem yang belum diperbarui dan mencoba mengeksploitasi kelemahan yang ada.
Celah Kritis di Adobe ColdFusion
Adobe ColdFusion mendapat beberapa perbaikan penting. Sebagian besar celah dapat berujung pada arbitrary code execution.
Arbitrary code execution berarti penyerang bisa menjalankan kode pada sistem yang terdampak. Ini adalah salah satu dampak paling berbahaya dalam keamanan aplikasi.
Beberapa celah berkaitan dengan upload file berbahaya. Ada juga celah yang berasal dari input validation yang tidak tepat.
Selain itu, Adobe juga memperbaiki celah path traversal. Celah seperti ini dapat membuat penyerang mengakses atau menulis file di lokasi yang tidak seharusnya.
Apa Itu Path Traversal?
Path traversal adalah celah yang memungkinkan penyerang keluar dari folder yang seharusnya.
Sebagai contoh, aplikasi hanya boleh membaca file dari folder tertentu. Namun, karena validasi lemah, penyerang bisa mencoba mengakses file lain di sistem.
Dalam kasus yang serius, path traversal dapat membantu penyerang membaca file sensitif. Bahkan, dalam kondisi tertentu, celah ini bisa berujung pada eksekusi kode.
Karena itu, celah path traversal perlu segera diperbaiki.
Celah di Adobe Campaign Classic
Adobe juga memperbaiki celah kritis di Adobe Campaign Classic. Celah ini berdampak pada deployment on-premise.
Masalah tersebut berkaitan dengan authorization yang tidak tepat. Jika berhasil dieksploitasi, penyerang dapat menjalankan kode pada sistem terdampak.
Versi yang terdampak adalah Adobe Campaign Classic v7 7.4.3 build 9396 dan versi sebelumnya. Perbaikan tersedia pada build 9397.
Namun, Adobe-hosted instances sudah diperbarui oleh Adobe. Jadi, pelanggan yang memakai layanan hosted tidak perlu melakukan tindakan tambahan untuk celah ini.
Versi yang Harus Diperbarui
Untuk ColdFusion, Adobe menyediakan perbaikan melalui ColdFusion 2023 Update 21 dan ColdFusion 2025 Update 10.
Sementara itu, pengguna Adobe Campaign Classic perlu memperbarui ke ACC v7 7.4.3 build 9397.
Jika organisasi memakai versi lama, update harus diprioritaskan. Terutama jika sistem dapat diakses dari internet atau dipakai untuk proses bisnis penting.
Apakah Celah Ini Sudah Dieksploitasi?
Awalnya, Adobe menyatakan belum menemukan eksploitasi aktif untuk celah yang diperbaiki.
Namun, laporan terbaru menyebut salah satu celah ColdFusion mulai terlihat dieksploitasi setelah publikasi. Celah tersebut adalah CVE-2026-48282.
Hal ini menunjukkan bahwa waktu respons sangat penting. Setelah detail celah tersedia, percobaan eksploitasi bisa muncul dengan cepat.
Karena itu, menunda patch dapat meningkatkan risiko.
Dampak untuk Perusahaan
Dampaknya bisa serius bagi perusahaan. Jika penyerang berhasil masuk, mereka dapat menjalankan perintah di server.
Selain itu, penyerang dapat membaca file sensitif atau meningkatkan hak akses. Dalam skenario buruk, server bisa dipakai sebagai pintu masuk ke jaringan internal.
Risiko juga bisa menyebar ke sistem lain. Terutama jika server terhubung ke database, aplikasi internal, atau layanan bisnis penting.
Langkah Mitigasi yang Disarankan
Langkah pertama adalah segera melakukan update ke versi yang sudah diperbaiki.
Setelah itu, periksa apakah ada akses mencurigakan pada server. Cek log aplikasi, log web server, dan log sistem operasi.
Selain itu, batasi akses ke admin panel dan endpoint sensitif. Gunakan firewall, VPN, dan IP allowlist jika memungkinkan.
Organisasi juga perlu memeriksa konfigurasi upload file. Jika fitur upload tidak dibutuhkan, sebaiknya nonaktifkan.
Tips Tambahan untuk Tim IT
Tim IT sebaiknya membuat daftar semua server ColdFusion dan Campaign Classic. Dengan begitu, proses patching bisa lebih terkontrol.
Selanjutnya, cek apakah server tersebut terbuka ke internet. Server publik harus menjadi prioritas utama.
Selain itu, lakukan backup sebelum update. Namun, jangan jadikan backup sebagai alasan untuk menunda patch terlalu lama.
Setelah update selesai, lakukan pengujian aplikasi. Pastikan layanan tetap berjalan normal.
Kesimpulan
Patch Adobe untuk ColdFusion dan Campaign Classic perlu segera diterapkan. Tujuh celah dengan skor CVSS 10.0 menunjukkan risiko yang sangat tinggi.
Masalah ini tidak hanya berdampak pada aplikasi. Jika berhasil dieksploitasi, penyerang bisa menjalankan kode, membaca file, atau meningkatkan hak akses.
Karena itu, organisasi harus segera memperbarui sistem. Selain patching, audit log dan pembatasan akses juga perlu dilakukan.
Pada akhirnya, patch cepat adalah salah satu cara terbaik untuk mengurangi risiko serangan.
Source: https://thehackernews.com/2026/07/adobe-patches-7-cvss-100-flaws-in.html
