CVE-2026-48286: Kritisk fejl i Adobe Campaign Classic
Kritisk fejl i Adobe Campaign Classic giver angribere fuld kontrol uden login – opdater straks.
Hvad er det?
Adobe Campaign Classic (ACC) er et markedsføringsværktøj til e-mailkampagner og kundestyring. En fejl i version 7.4.3 build 9396 og tidligere betyder, at systemet ikke tjekker ordentligt, om en bruger har lov til at udføre bestemte handlinger. Det kaldes en autorisationsfejl (en fejl i adgangskontrolsystemet). En angriber kan udnytte dette til at køre vilkårlig kode på serveren – altså tvinge systemet til at udføre kommandoer, som angriberen bestemmer. Det kræver hverken et gyldigt login eller hjælp fra dine medarbejdere.
Hvem rammer det?
Sårbarheden rammer alle virksomheder, der bruger Adobe Campaign Classic version 7.4.3 build 9396 eller en ældre version. Det gælder uanset om systemet er installeret on-premise (på egne servere) eller tilgængeligt via internettet. Særligt udsatte er virksomheder, der har ACC-serveren eksponeret mod internettet, da angriberen kan nå den direkte uden at være inde på dit netværk.
Hvad kan ske?
Hvis sårbarheden udnyttes, kan en angriber:
- Køre egne programmer og kommandoer på din server
- Stjæle eller slette kundedata og kampagnedata, herunder e-mailadresser og personoplysninger
- Installere bagdøre (skjulte adgange) til fremtidige angreb
- Bruge din server som springbræt til at angribe andre systemer i din virksomhed
- Kryptere data med ransomware og kræve løsesum
Fordi fejlen giver fuld kontrol (høj fortrolighed, integritet og tilgængelighed påvirkes alle), er konsekvenserne potentielt katastrofale.
Hvor alvorligt er det?
Denne sårbarhed er vurderet til den højest mulige CVSS-score: 10 ud af 10 – Kritisk. Det skyldes en kombination af faktorer: angrebet kommer over netværket, det er nemt at udføre, kræver ingen rettigheder eller brugerinteraktion, og konsekvenserne er maksimale. Derudover er ‘scope changed’ (omfanget er udvidet), hvilket betyder, at angrebet kan brede sig ud over det angrebne system til andre dele af din infrastruktur. Det er med andre ord så alvorligt, som det kan blive.
Hvad gør jeg nu?
Følg disse trin så hurtigt som muligt – helst inden for 24 timer:
- Find ud af hvilken version du bruger: Log ind i Adobe Campaign Classic og tjek versionsnummeret under Hjælp > Om. Er det 7.4.3 build 9396 eller ældre, er du sårbar.
- Opdater til den nyeste version: Hent og installer den sikkerhedsrettede version fra Adobe via Adobes officielle releasenoter. Følg Adobes installationsguide.
- Begræns adgang midlertidigt: Hvis du ikke kan opdatere med det samme, så bloker ekstern adgang til ACC-serveren via din firewall (netværksmur), så kun interne brugere kan nå den.
- Tjek logs for mistænkelig aktivitet: Gennemgå serverlogfiler for usædvanlige handlinger, ukendte brugere eller uventede programmer, der er kørt på serveren.
- Kontakt din IT-leverandør: Hvis du ikke selv kan gennemføre opdateringen, kontakt din IT-partner eller Auroa for hjælp.
Opdater inden for 24 timer
Med en CVSS-score på 10 og ingen krav til hverken login eller brugerhandlinger er dette en sårbarhed, du ikke kan vente med at håndtere. Opdater Adobe Campaign Classic til den nyeste version øjeblikkeligt. Har du ikke ressourcerne til at gøre det selv i dag, så afskær som minimum ekstern adgang til serveren, indtil opdateringen er på plads. Kontakt os, hvis du har brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen.
Tidslinje
Konkrete eksempler
Direkte serverovertagelse via netværket
En angriber scanner internettet for servere, der kører Adobe Campaign Classic og er tilgængelige udefra. Uden at have et brugernavn eller en adgangskode sender angriberen en særligt udformet forespørgsel til serveren, der udnytter autorisationsfejlen. Serveren udfører angriberens kommando og giver fuld adgang til systemet – herunder alle kampagnedata og kundelister.
Ransomware-angreb via Campaign-serveren
En kriminel gruppe udnytter sårbarheden til at installere ransomware (afpresningssoftware) på din Adobe Campaign-server. Softwaren krypterer alle filer og sender besked om, at du skal betale løsesum for at få dem tilbage. Hele din e-mailmarkedsføring går i stå, og du risikerer at miste adgang til årevis af kundedata.
Springbræt til resten af virksomhedens netværk
Fordi sårbarhedens ‘scope’ er udvidet (scope changed), kan en angriber bruge den kompromitterede Campaign-server som indgang til resten af dit interne netværk. Derfra kan angriberen bevæge sig videre til fx din regnskabssoftware, filservere eller andre forretningskritiske systemer – alt uden at du opdager det i første omgang.
Ofte stillede spørgsmål
Skal jeg selv opdatere, eller gør Adobe det automatisk?
Adobe Campaign Classic opdaterer ikke sig selv automatisk. Du eller din IT-leverandør skal manuelt hente og installere den nye version. Tjek Adobes officielle supportside for vejledning til din specifikke installationstype.
Hvad hvis vi bruger Adobe Campaign via en cloud-tjeneste?
Bruger du Adobe Campaign Classic som en hosted- eller managed service direkte via Adobe, bør Adobe selv sørge for opdateringen. Kontakt din Adobe-kontaktperson eller supportteam og få bekræftet skriftligt, at din instans er opdateret og ikke længere sårbar.
Er vores kundedata i fare lige nu?
Så længe sårbarheden ikke er rettet, er der en reel risiko. Det er dog ikke sikkert, at nogen allerede har angrebet dig – men da fejlen er offentligt kendt og kritisk, kan det ske hurtigt. Opdater systemet og gennemgå dine logs for at afklare, om der har været mistænkelig aktivitet.
Hvad er en autorisationsfejl (CWE-863)?
En autorisationsfejl betyder, at systemet ikke tjekker korrekt, om en bruger faktisk har lov til at udføre en bestemt handling. Tænk på det som en dør, der burde være låst, men som åbner for alle. I dette tilfælde kan en angriber udnytte det til at køre egne programmer på serveren uden nogen form for adgangskontrol.
Gælder det også ældre versioner af Adobe Campaign Classic?
Ja. Sårbarheden er bekræftet i version 7.4.3 build 9396 og alle tidligere versioner. Kører du en ældre version, er du også sårbar og bør opdatere hurtigst muligt.
Hvad koster det at lade være med at opdatere?
Konsekvenserne kan være alvorlige: datatab, brud på GDPR (persondataforordningen) med bøder til følge, driftstop, og i værste fald ransomware der krypterer alle dine data. Omkostningerne ved et angreb vil langt overstige omkostningerne ved en opdatering.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Adobe Campaign Classic (ACC) versions 7.4.3 build 9396 and earlier are affected by an Incorrect Authorization vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
