CVE-2026-48303 : Adobe Campaign Classic RCE CVSS 10.0

Les faits

CVE-2026-48303 est une vulnérabilité critique d'autorisation incorrecte (Incorrect Authorization, CWE-285) affectant Adobe Campaign Classic (ACC), la plateforme de marketing automation et d'emailing de niveau entreprise éditée par Adobe. Avec un score CVSS v3.1 de 10.0 — la sévérité maximale possible —, cette faille permet à un attaquant non authentifié d'exécuter du code arbitraire à distance, sans interaction utilisateur requise. L'advisory de sécurité APSB26-66, publié par Adobe le 10 juin 2026 simultanément à la sortie de plus de 120 correctifs de sécurité sur l'ensemble des produits Adobe, classifie CVE-2026-48303 comme « Priority 1 », réservé aux vulnérabilités les plus critiques nécessitant une réponse immédiate.

Le vecteur CVSS (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) décrit une exploitation réseau à faible complexité, sans authentification requise, sans interaction utilisateur, avec un impact étendu au-delà du composant vulnérable (Scope:Changed) et une compromission totale de la confidentialité, de l'intégrité et de la disponibilité. Ce profil CVSS 10.0 est l'un des plus rares et des plus dangereux qui soit : il signifie qu'un attaquant externe peut, depuis Internet, compromettre complètement une instance Campaign Classic exposée sans avoir besoin du moindre compte ou privilège préalable.

La racine technique de la vulnérabilité réside dans un contrôle d'autorisation défaillant au sein des API internes d'Adobe Campaign Classic. Les versions 7.4.3 build 9394 et antérieures ne vérifient pas correctement les droits d'accès de l'appelant avant d'exécuter certaines actions critiques. Un acteur malveillant peut exploiter cette vérification insuffisante pour appeler des fonctionnalités normalement réservées aux administrateurs authentifiés et obtenir in fine une exécution de code dans le contexte du processus serveur d'Adobe Campaign Classic. La vulnérabilité a été découverte et signalée à Adobe par le chercheur Jamie Parfet dans le cadre d'un programme de divulgation responsable, selon l'advisory APSB26-66.

Adobe Campaign Classic est une solution de marketing automation robuste, déployée on-premise ou en hybride par des organisations de grande taille — banques, assurances, retailers, opérateurs télécom — pour gérer des campagnes d'emailing à grande échelle, des données clients sensibles (PII, transactions, préférences) et des workflows de communication automatisés. Son déploiement on-premise implique un serveur applicatif exposé sur le réseau d'entreprise, parfois accessible depuis Internet ou des partenaires externes via des APIs. C'est précisément dans ce contexte que CVE-2026-48303 prend toute sa dangerosité : une instance ACC exposée est un actif à très haute valeur pour un attaquant, qui peut y accéder sans credential et extraire l'intégralité des données marketing, des listes de clients et des historiques de communications.

L'analyse publiée par The Hacker Wire (Adobe Campaign Classic RCE via Incorrect Authorization) et le Vulnerability Intelligence Report du 10 juin 2026 de Threat-Modeling.com confirment que l'exploitation ne nécessite aucune condition préalable spéciale : la simple accessibilité réseau au port d'écoute du serveur Campaign Classic suffit. Aucun PoC public n'avait été publié au moment de la divulgation coordonnée, et aucune exploitation in-the-wild n'a été signalée par Adobe ou les équipes SIRT de l'industrie. Cependant, la simplicité théorique d'exploitation d'une faille d'autorisation incorrecte avec CVSS 10.0 rend la publication d'un exploit fonctionnel probable dans un délai très court.

Adobe a publié la correction dans la version 7.4.3 build 9396, disponible pour les systèmes Linux et Windows hébergeant une instance on-premise de Campaign Classic. Les instances hébergées dans Adobe Experience Cloud (SaaS) ont été mises à jour automatiquement par Adobe et ne sont pas concernées. En revanche, les déploiements hybrides — où une partie des composants Campaign Classic réside on-premise — sont affectés pour leurs composants locaux. L'avis de sécurité APSB26-66 précise explicitement que cette advisory s'applique aux instances Adobe Campaign on-premise uniquement, y compris les déploiements entièrement on-premise et les composants on-premise des déploiements hybrides.

Le contexte de publication est également important : Adobe a corrigé plus de 120 vulnérabilités lors de ce cycle de juin 2026, dont des failles dans InDesign, Acrobat, Photoshop et After Effects. CVE-2026-48303 se distingue comme l'une des deux seules vulnérabilités de ce lot à atteindre le score CVSS maximal de 10.0. Cette concentration de vulnérabilités critiques dans Adobe Campaign Classic témoigne d'une revue approfondie du code de la plateforme, probablement déclenchée par le rapport de Jamie Parfet au travers du programme de divulgation responsable Adobe.

Les organisations utilisant Adobe Campaign Classic on-premise dans les secteurs bancaire, assurance, retail ou télécom doivent considérer cette vulnérabilité comme une priorité absolue. La combinaison d'un CVSS 10.0, d'une exploitation sans authentification et du volume de données clients sensibles typiquement gérées par Campaign Classic en fait potentiellement l'une des vulnérabilités les plus impactantes de juin 2026 pour les entreprises françaises et européennes qui déploient cette solution répandue.

Selon SecurityWeek, qui a couvert les 123 vulnérabilités patchées par Adobe en juin 2026, CVE-2026-48303 est décrit comme un RCE critique nécessitant une attention immédiate de la part des équipes de sécurité. La revue du Vulnerability Intelligence Report du 10 juin 2026 confirme que la vulnérabilité affecte tous les composants on-premise ACC jusqu'à la version 7.4.3 build 9394 incluse, et que le build 9396 est la seule correction disponible — aucune mitigation temporaire n'est fournie par Adobe.

Impact et exposition

Les organisations les plus exposées sont celles qui hébergent une instance Adobe Campaign Classic on-premise accessible depuis Internet ou depuis des zones réseau non totalement cloisonnées. Les déploiements ACC sont fréquents dans les secteurs bancaire, assurance, retail et télécommunications, où la plateforme gère des dizaines ou centaines de millions de profils clients, incluant des informations personnelles identifiables (noms, emails, numéros de téléphone, historiques d'achats, données comportementales). Une exploitation réussie permettrait l'exfiltration de l'intégralité de ces données, une atteinte grave au RGPD et une crise de communication majeure pour les organisations victimes.

Au-delà de l'exfiltration de données, l'exécution de code arbitraire sur un serveur Campaign Classic ouvre la voie à une persistance sur le réseau d'entreprise, à la compromission de systèmes adjacents (bases de données CRM, serveurs d'emailing, outils d'analytique) et potentiellement au déploiement de ransomware sur l'infrastructure marketing. La valeur stratégique des données clients pour des acteurs de la cybercriminalité organisée — revendues sur des marchés clandestins ou utilisées pour des campagnes de phishing ciblé — rend cette vulnérabilité particulièrement attractive.

Les instances ACC exposées sur Internet sans WAF (Web Application Firewall) ou sans segmentation réseau stricte sont les plus immédiatement menacées. La présence de la version 7.4.3 build 9394 ou antérieure peut être vérifiée depuis la console d'administration Campaign Classic. Les déploiements en hybride, où certains clients pensent être protégés par leur composant SaaS Adobe, doivent particulièrement vérifier l'état de leurs composants on-premise, souvent moins surveillés que le composant cloud.

Recommandations immédiates

• Mettre à jour Adobe Campaign Classic vers la version 7.4.3 build 9396 disponible sur le portail de téléchargement Adobe — advisory de sécurité APSB26-66 (Adobe Security Bulletin, 10 juin 2026)
• Vérifier immédiatement la version de build active : dans la console ACC, menu Aide > À propos d'Adobe Campaign Classic, ou via la commande nlserver pdump sur le serveur
• Restreindre l'accès réseau au serveur Campaign Classic aux seules IP autorisées (équipes marketing, partenaires listés) en attendant l'application du patch
• Mettre en place un WAF devant les API Campaign Classic exposées, avec des règles restrictives sur les endpoints non authentifiés
• Auditer les logs d'accès ACC des 30 derniers jours pour détecter des requêtes anormales provenant d'IP inconnues ou des tentatives d'accès à des endpoints d'administration
• En cas de suspicion de compromission, isoler le serveur ACC, préserver les journaux applicatifs et contacter une équipe de réponse à incident