Adobe tung bản vá khẩn cấp cho 7 lỗ hổng đạt điểm CVSS 10.0 trong ColdFusion và Campaign Classic
Adobe vừa phát hành các bản cập nhật quan trọng để khắc phục hàng loạt lỗ hổng bảo mật nghiêm trọng, bao gồm nhiều lỗi đạt điểm tối đa 10.0 trên thang điểm CVSS, ảnh hưởng đến ColdFusion và Campaign...
Adobe vừa chính thức phát hành các bản vá bảo mật cho hàng loạt lỗ hổng nghiêm trọng ảnh hưởng đến hai sản phẩm chủ lực là Adobe ColdFusion và Adobe Campaign Classic. Đáng chú ý, có tới 7 lỗ hổng được đánh giá ở mức nguy hiểm cao nhất với điểm CVSS 10.0.
Table Of Content
Các lỗ hổng trong Adobe ColdFusion
Theo thông báo từ Adobe, các bản cập nhật mới nhất (ColdFusion 2023 Update 21 và ColdFusion 2025 Update 10) giải quyết các vấn đề liên quan đến thực thi mã từ xa (arbitrary code execution), leo thang đặc quyền, đọc tệp tin tùy ý và bypass các tính năng bảo mật. Các mã CVE đáng chú ý bao gồm:
- CVE-2026-48276, CVE-2026-48283 (CVSS 10.0): Lỗi cho phép tải lên tệp tin không giới hạn, dẫn đến khả năng thực thi mã tùy ý.
- CVE-2026-48277, CVE-2026-48281, CVE-2026-48316 (CVSS 10.0): Lỗi xác thực đầu vào không đúng cách, có thể bị khai thác để thực thi mã.
- CVE-2026-48282 (CVSS 10.0): Lỗi path traversal dẫn đến thực thi mã tùy ý.
- CVE-2026-48313 (CVSS 9.3): Lỗi path traversal cho phép đọc tệp tin trên hệ thống.
- CVE-2026-48315 (CVSS 9.3): Lỗi xác thực đầu vào dẫn đến leo thang đặc quyền.
Lỗ hổng trong Adobe Campaign Classic
Đối với Adobe Campaign Classic, lỗ hổng CVE-2026-48286 (CVSS 10.0) đã được khắc phục trong phiên bản ACC v7: 7.4.3 build 9397. Lỗ hổng này xuất phát từ việc ủy quyền không chính xác, cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống. Adobe lưu ý rằng lỗi này chỉ ảnh hưởng đến các phiên bản cài đặt on-premise (tại chỗ) hoặc các thành phần on-premise trong môi trường hybrid; các instance do Adobe lưu trữ (cloud) đã được cập nhật tự động.
Thay đổi chiến lược phát hành bản vá
Hiện tại, Adobe cho biết chưa ghi nhận bất kỳ dấu hiệu khai thác nào đối với các lỗ hổng này trong thực tế. Tuy nhiên, hãng cũng thông báo một thay đổi lớn trong quy trình bảo mật: bắt đầu từ ngày 14/07/2026, Adobe sẽ chuyển từ lịch phát hành bản vá hàng tháng sang hai lần mỗi tháng (vào thứ Ba tuần thứ hai và thứ tư hàng tháng).
Quyết định này được đưa ra do sự gia tăng tốc độ phát hiện lỗ hổng nhờ ứng dụng các mô hình trí tuệ nhân tạo (AI). Giám đốc bảo mật của Adobe, Aanchal Gupta, nhấn mạnh rằng AI đang giúp rút ngắn đáng kể khoảng thời gian từ khi lỗ hổng được công bố đến khi bị khai thác, do đó việc đẩy nhanh tiến độ phát hành bản vá là bước đi tất yếu để bảo vệ người dùng.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.