CVE-2026-47907
Alvorlig

CVE-2026-47907: Kritisk sårbarhed i Adobe Dreamweaver

Kritisk sårbarhed i Adobe Dreamweaver giver angribere mulighed for at overtage din computer via en ondsindet fil.

CVSS Score
8.6
Offentliggjort
09/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 48 timer

Hvad er det?

En sårbarhed i Adobe Dreamweaver (version 21.7 og tidligere) gør det muligt for en angriber at køre vilkårlig kode (dvs. egne programmer eller kommandoer) på din computer. Fejlen skyldes forkert adgangskontrol (CWE-284), hvilket betyder at programmet ikke tjekker ordentligt, hvem eller hvad der må udføre bestemte handlinger. Resultatet er, at en ondsindet fil kan misbruge Dreamweaver til at gøre næsten hvad som helst på din maskine — med dine rettigheder. Sårbarheden rammer både Windows- og macOS-brugere.

Hvem rammer det?

Sårbarheden rammer alle, der bruger Adobe Dreamweaver version 21.7 eller ældre på enten Windows eller macOS. Det er typisk webudviklere, designere og bureauer, der anvender Dreamweaver til at bygge og redigere hjemmesider. Hvis din virksomhed bruger Dreamweaver — eller har freelancere eller ansatte der gør det — bør du handle nu.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan de:

  • Installere skadelig software (malware eller ransomware) på den ramte computer
  • Stjæle filer, adgangskoder og forretningskritiske data
  • Få adgang til andre systemer på dit netværk via den kompromitterede computer
  • Overtage brugerens konto og handle på dennes vegne

Angrebet kræver, at en bruger åbner en ondsindet fil — f.eks. modtaget via e-mail eller downloadet fra nettet.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8,6 ud af 10 (Alvorlig) af sikkerhedsorganisationen CVSS. Det er en høj score, fordi angrebet er nemt at udføre, ikke kræver særlige rettigheder og kan give angriberen fuld kontrol over fortrolighed, integritet og tilgængelighed af data på den ramte maskine. Det eneste, der begrænser risikoen en smule, er at offeret selv skal åbne en fil — men det sker desværre ofte ved phishing-angreb (falske e-mails der narrer dig til at åbne vedhæftninger).

Hvad gør jeg nu?

Følg disse trin hurtigst muligt for at beskytte din virksomhed:

  1. Opdatér Adobe Dreamweaver til version 21.8 eller nyere. Gå til Hjælp → Søg efter opdateringer i programmet, eller hent den seneste version på Adobes hjemmeside.
  2. Informér dine medarbejdere om ikke at åbne uventede filer i Dreamweaver — særligt filer modtaget via e-mail eller downloadet fra ukendte kilder.
  3. Tjek om opdateringen er gennemført på alle computere i virksomheden, der har Dreamweaver installeret.
  4. Overvej at afinstallere Dreamweaver på maskiner, hvor det ikke bruges aktivt, indtil opdateringen er installeret.
  5. Kontakt jeres IT-ansvarlige eller en sikkerhedskonsulent hvis I er i tvivl om, hvorvidt I er berørt.
Tidsfrist

Opdatér inden for 48 timer

Sådan ser Auroa det

Vores klare anbefaling er at opdatere Adobe Dreamweaver til version 21.8 eller nyere øjeblikkeligt. Da angrebet kræver brugerinteraktion, er det vigtigt at kombinere den tekniske opdatering med en hurtig orientering til dine medarbejdere om ikke at åbne filer fra ukendte afsendere. Har du ikke en IT-ansvarlig, der kan gennemføre opdateringen, hjælper Auroa gerne med en hurtig gennemgang af dine systemer.

Tidslinje

09/06/2026
CVE offentliggjort af Adobe og NVD
Adobe offentliggjorde sikkerhedsopdateringen og CVE-2026-47907 blev registreret i National Vulnerability Database med en CVSS-score på 8,6 (Alvorlig).
09/06/2026
Patch frigivet: Dreamweaver 21.8
Adobe udgav version 21.8 af Dreamweaver, der lukker sårbarheden. Opdateringen er tilgængelig via Adobe Creative Cloud og Adobes hjemmeside.
10/06/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere dokumenterede at proof-of-concept-kode (en demonstration af angrebet) er tilgængeligt, hvilket øger risikoen for at ondsindede aktører forsøger at udnytte sårbarheden aktivt.
10/06/2026
Opfordring til øjeblikkelig opdatering
Sikkerhedsmyndigheder og leverandører opfordrer alle brugere af Dreamweaver 21.7 og ældre til at opdatere øjeblikkeligt og være ekstra opmærksomme på mistænkelige filer.

Konkrete eksempler

Phishing-mail med ondsindet designfil

En angriber sender en e-mail til en webudvikler i en SMV med en vedhæftet Dreamweaver-projektfil, der ser ud til at komme fra en kunde. Når udvikleren åbner filen i Dreamweaver 21.7, aktiveres den skjulte kode i filen, og angriberen får fuld adgang til computeren. Derfra kan angriberen sprede sig til virksomhedens øvrige systemer og filer.

Ondsindet skabelon downloadet fra nettet

En designer downloader gratis en hjemmeskabelon til Dreamweaver fra et ukendt website. Filen indeholder skjult ondsindet kode. Når designeren åbner skabelonen, udnytter den sårbarheden og installerer et overvågningsprogram (keylogger), der optager alle tastetryk — herunder adgangskoder til netbank og forretningssystemer.

Ransomware via kompromitteret samarbejdspartner

En underleverandør sender en tilbuds-fil i et format, der kan åbnes i Dreamweaver. Filen er inficeret, fordi underleverandørens computer selv er kompromitteret. Når modtageren åbner filen, krypteres alle filer på computeren og en løsesumsbesked vises på skærmen. Virksomheden mister adgang til egne projekter og kundedata, indtil løsesummen betales eller en backup genoprettes.

Ofte stillede spørgsmål

Ramte produkter

Adobe — Dreamweaver

< 21.8

Apple — Macos

Microsoft — Windows

CVSS-detaljer

Attack Vector
LOCAL
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-284

Original NVD-beskrivelse (engelsk)

Dreamweaver Desktop versions 21.7 and earlier are affected by an Improper Access Control vulnerability that could result in arbitrary code execution in the context of the current user. An attacker could exploit this vulnerability to execute arbitrary code. Exploitation of this issue requires user interaction in that a victim must open a malicious file. Scope is changed.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.6
Visning
Hurtige fakta
CVE-ID
CVE-2026-47907
Offentliggjort
09/06/2026
Sidst opdateret
23/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.