CVE-2026-48286
Kritisk

CVE-2026-48286: Kritisk fejl i Adobe Campaign Classic

Kritisk fejl i Adobe Campaign Classic giver angribere fuld kontrol uden login – opdater straks.

CVSS Score
10
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24 timer

Hvad er det?

Adobe Campaign Classic (ACC) er et markedsføringsværktøj til e-mailkampagner og kundestyring. En fejl i version 7.4.3 build 9396 og tidligere betyder, at systemet ikke tjekker ordentligt, om en bruger har lov til at udføre bestemte handlinger. Det kaldes en autorisationsfejl (en fejl i adgangskontrolsystemet). En angriber kan udnytte dette til at køre vilkårlig kode på serveren – altså tvinge systemet til at udføre kommandoer, som angriberen bestemmer. Det kræver hverken et gyldigt login eller hjælp fra dine medarbejdere.

Hvem rammer det?

Sårbarheden rammer alle virksomheder, der bruger Adobe Campaign Classic version 7.4.3 build 9396 eller en ældre version. Det gælder uanset om systemet er installeret on-premise (på egne servere) eller tilgængeligt via internettet. Særligt udsatte er virksomheder, der har ACC-serveren eksponeret mod internettet, da angriberen kan nå den direkte uden at være inde på dit netværk.

Hvad kan ske?

Hvis sårbarheden udnyttes, kan en angriber:

  • Køre egne programmer og kommandoer på din server
  • Stjæle eller slette kundedata og kampagnedata, herunder e-mailadresser og personoplysninger
  • Installere bagdøre (skjulte adgange) til fremtidige angreb
  • Bruge din server som springbræt til at angribe andre systemer i din virksomhed
  • Kryptere data med ransomware og kræve løsesum

Fordi fejlen giver fuld kontrol (høj fortrolighed, integritet og tilgængelighed påvirkes alle), er konsekvenserne potentielt katastrofale.

Hvor alvorligt er det?

Denne sårbarhed er vurderet til den højest mulige CVSS-score: 10 ud af 10 – Kritisk. Det skyldes en kombination af faktorer: angrebet kommer over netværket, det er nemt at udføre, kræver ingen rettigheder eller brugerinteraktion, og konsekvenserne er maksimale. Derudover er ‘scope changed’ (omfanget er udvidet), hvilket betyder, at angrebet kan brede sig ud over det angrebne system til andre dele af din infrastruktur. Det er med andre ord så alvorligt, som det kan blive.

Hvad gør jeg nu?

Følg disse trin så hurtigt som muligt – helst inden for 24 timer:

  1. Find ud af hvilken version du bruger: Log ind i Adobe Campaign Classic og tjek versionsnummeret under Hjælp > Om. Er det 7.4.3 build 9396 eller ældre, er du sårbar.
  2. Opdater til den nyeste version: Hent og installer den sikkerhedsrettede version fra Adobe via Adobes officielle releasenoter. Følg Adobes installationsguide.
  3. Begræns adgang midlertidigt: Hvis du ikke kan opdatere med det samme, så bloker ekstern adgang til ACC-serveren via din firewall (netværksmur), så kun interne brugere kan nå den.
  4. Tjek logs for mistænkelig aktivitet: Gennemgå serverlogfiler for usædvanlige handlinger, ukendte brugere eller uventede programmer, der er kørt på serveren.
  5. Kontakt din IT-leverandør: Hvis du ikke selv kan gennemføre opdateringen, kontakt din IT-partner eller Auroa for hjælp.
Tidsfrist

Opdater inden for 24 timer

Sådan ser Auroa det

Med en CVSS-score på 10 og ingen krav til hverken login eller brugerhandlinger er dette en sårbarhed, du ikke kan vente med at håndtere. Opdater Adobe Campaign Classic til den nyeste version øjeblikkeligt. Har du ikke ressourcerne til at gøre det selv i dag, så afskær som minimum ekstern adgang til serveren, indtil opdateringen er på plads. Kontakt os, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen.

Tidslinje

30/06/2026
CVE offentliggjort
Adobe og NVD offentliggør CVE-2026-48286 med en kritisk CVSS-score på 10. Sårbarheden beskrives som en autorisationsfejl i Adobe Campaign Classic, der tillader ekstern kodeafvikling uden login.
30/06/2026
Sikkerhedsopdatering frigivet af Adobe
Adobe udgiver en rettelse som del af den koordinerede offentliggørelse. Alle brugere af version 7.4.3 build 9396 og ældre opfordres til øjeblikkelig opdatering.
01/07/2026
Proof-of-concept forventes tilgængeligt
Baseret på sårbarhedens kritiske karakter og høje offentlige interesse er det realistisk at forvente, at sikkerhedsforskere publicerer proof-of-concept-kode (demonstrationskode for angrebet) inden for dage efter offentliggørelsen.
07/07/2026
Øget risiko for aktivt misbrug
Historisk set bliver kritiske sårbarheder uden krav til login aktivt udnyttet af angribere inden for én til to uger efter offentliggørelsen. Virksomheder, der endnu ikke har opdateret, er i høj risiko.

Konkrete eksempler

Direkte serverovertagelse via netværket

En angriber scanner internettet for servere, der kører Adobe Campaign Classic og er tilgængelige udefra. Uden at have et brugernavn eller en adgangskode sender angriberen en særligt udformet forespørgsel til serveren, der udnytter autorisationsfejlen. Serveren udfører angriberens kommando og giver fuld adgang til systemet – herunder alle kampagnedata og kundelister.

Ransomware-angreb via Campaign-serveren

En kriminel gruppe udnytter sårbarheden til at installere ransomware (afpresningssoftware) på din Adobe Campaign-server. Softwaren krypterer alle filer og sender besked om, at du skal betale løsesum for at få dem tilbage. Hele din e-mailmarkedsføring går i stå, og du risikerer at miste adgang til årevis af kundedata.

Springbræt til resten af virksomhedens netværk

Fordi sårbarhedens ‘scope’ er udvidet (scope changed), kan en angriber bruge den kompromitterede Campaign-server som indgang til resten af dit interne netværk. Derfra kan angriberen bevæge sig videre til fx din regnskabssoftware, filservere eller andre forretningskritiske systemer – alt uden at du opdager det i første omgang.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-863

Original NVD-beskrivelse (engelsk)

Adobe Campaign Classic (ACC) versions 7.4.3 build 9396 and earlier are affected by an Incorrect Authorization vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
10
Visning
Hurtige fakta
CVE-ID
CVE-2026-48286
Offentliggjort
30/06/2026
Sidst opdateret
30/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.