Auch Adobe hat im Januar-Patchday mehrere sicherheitskritische Schwachstellen in seinen Produkten behoben. Besonders problematisch ist eine kritische Sicherheitslücke in Adobe ColdFusion, die eine vollständige Systemübernahme ermöglichen kann.

Kritische Schwachstelle in Adobe ColdFusion

Die gravierendste Lücke betrifft Adobe ColdFusion und erlaubt eine sogenannte Remote Code Execution (RCE). Angreifer können dabei eigenen Code auf verwundbaren Systemen ausführen. In der Folge sind unter anderem Datenabfluss, Dienstunterbrechungen (Denial of Service) oder sogar eine vollständige Übernahme des Systems möglich.

• Kennung: CVE-2025-66516 (EUVD-2025-201189)

• CVSS Base Score: 9,8 / 10 (kritisch)

Adobe stuft die Schwachstelle als hochriskant ein und empfiehlt dringend, die verfügbaren Sicherheitsupdates unverzüglich einzuspielen.

Weitere betroffene Adobe-Produkte

Neben ColdFusion behebt der Patchday auch Sicherheitslücken in mehreren weit verbreiteten Adobe-Anwendungen. Darunter befinden sich teils als „kritisch“ eingestufte Schwachstellen, die Speicherfehler auslösen und in bestimmten Szenarien ebenfalls zur Ausführung von Schadcode führen können.

Betroffen sind unter anderem:

• Adobe Dreamweaver

• Adobe InDesign

• Adobe Illustrator

• Adobe InCopy

• Adobe Bridge

• Adobe Substance 3D (Modeler, Stager, Painter, Sampler und Designer)

Einige der Schwachstellen basieren auf Heap-basierten Speicherfehlern, wie etwa in Adobe Bridge (z. B. CVE-2026-21283, CVSS „hoch“). Solche Fehler gelten als typische Angriffspunkte für Schadcode.

Keine aktiven Angriffe bekannt – aber hohes Risiko

Nach aktuellem Kenntnisstand liegen keine Hinweise auf eine aktive Ausnutzung der Schwachstellen vor. Erfahrungsgemäß kann sich dies jedoch schnell ändern, insbesondere bei öffentlich dokumentierten Sicherheitslücken mit hohem Schweregrad.