Se han descubierto vulnerabilidades de severidad alta en múltiples productos de Adobe. Un actor malicioso podría lograr la ejecución de código arbitrario en los sistemas afectados mediante el procesamiento de archivos maliciosamente diseñados.
Productos afectados
- Adobe Audition, versión 25.3 y anteriores (Windows y macOS).
- After Effects, versión 25.6 y anteriores (Windows y macOS).
- InDesign ID21.x versión ID21.1 y anteriores; e InDesign ID20.x versión ID20.5.1 y anteriores (Windows y macOS).
- Substance 3D Designer versión 15.1.0 y anteriores; Substance 3D Stager versión 3.1.6 y anteriores; Substance 3D Modeler versión 1.16.0 y anteriores.
- Bridge 15.x versión 15.1.3 y anteriores; Bridge 16.x versión 16.0.1 y anteriores (Windows y macOS).
- Lightroom Classic, versión 15.1 y anterior (Windows).
- SDK DNG, versión 1.7.1 compilación 2410 y anteriores.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-21318: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de límites. Un actor malicioso podría ejecutar código arbitrario en el contexto del usuario actual al inducir a la víctima a abrir un archivo diseñado específicamente.
CVE-2026-21357: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer en el heap. Un actor malicioso local podría lograr la ejecución de código arbitrario mediante la manipulación de la memoria del sistema durante el procesamiento de contenido malicioso.
CVE-2026-21335: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de límites. Un actor malicioso podría ejecutar código arbitrario en el contexto del usuario actual al inducir a la víctima a abrir un archivo malicioso.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias