Adobe je tokom januarskog Patch Tuesday izdanja za 2026. godinu objavio bezbjednosna ažuriranja za 11 proizvoda, kojima se rješava ukupno 25 ranjivosti, uključujući i jednu kritičnu grešku koja omogućava izvršavanje koda.
Kritični problem, praćen kao CVE-2025-66516 (CVSS ocjena 10/10), predstavlja XML External Entity (XXE) injekciju u modulima Apache Tika, koja može biti iskorišćena putem XFA fajlova ubačenih unutar PDF dokumenata.
Bezbjednosni propust je zakrpljen početkom decembra, kada je Apache upozorio da uspješna eksploatacija može dovesti do curenja informacija, SSRF napada, uskraćivanja usluge (DoS) ili udaljenog izvršavanja koda (RCE).
U utorak je Adobe objavio bezbjednosno ažuriranje za ColdFusion kojim se rješava CVE-2025-66516, navodeći da su pogođene sve verzije ColdFusion 2025 Update 5 i starije, kao i ColdFusion 2023 Update 17 i starije, na svim platformama.
Ranjivost je otklonjena u ColdFusion 2025 Update 6 i ColdFusion 2023 Update 18. Adobe je bezbjednosnom biltenu dodijelio prioritetnu ocjenu „1“ i pozvao korisnike da što prije izvrše ažuriranje.
Još jedan Adobe proizvod koji je dobio ažuriranje tokom januarskog Patch Tuesday izdanja za 2026. godinu je Dreamweaver. Bezbjednosno osvježenje rješava pet ranjivosti visokog nivoa, od kojih četiri omogućavaju proizvoljno izvršavanje koda, a jedna proizvoljno upisivanje sistemskih fajlova.
Ranjivosti visokog nivoa otklonjene su i u proizvodima Bridge, Illustrator, InCopy, InDesign, Substance 3D Modeler, Substance 3D Sampler, Substance 3D Stager i Substance 3D Painter. Kod pojedinih proizvoda, ažuriranja su takođe riješila i greške srednjeg nivoa ozbiljnosti.
Adobe je takođe objavio zakrpu za ranjivost srednjeg nivoa u Substance 3D Designeru, uz upozorenje da bi mogla dovesti do curenja memorije.
Sva preostala bezbjednosna obavještenja nose prioritetnu ocjenu „3“, jer su problemi riješeni u proizvodima koji nisu bili istorijski česta meta napada.
Kompanija ne navodi da je ijedna od ovih ranjivosti iskorišćena u stvarnim napadima. Dodatne informacije dostupne su na stranici sa bezbjednosnim obavještenjima kompanije Adobe.
U utorak je i Microsoft zakrpio 112 ranjivosti, uključujući i jednu zero-day ranjivost koja je bila aktivno korišćena u napadima.
Izvor: SecurityWeek