Adobe vá 11 lỗi ColdFusion, 6 lỗi đạt CVSS tối đa 10.0
Bản tin APSB26-68 vá 11 lỗ hổng ColdFusion 2025/2023, trong đó 6 lỗi RCE không cần xác thực đạt CVSS 10.0; Adobe xếp Priority 1, khuyến nghị cập nhật ngay.
Adobe phát hành bản tin bảo mật APSB26-68 (30/6) vá 11 lỗ hổng trong ColdFusion 2025 (Update 9 trở về trước) và ColdFusion 2023 (Update 20 trở về trước), xếp Priority 1 — mức khẩn cấp cao nhất của Adobe. Bản vá nằm trong ColdFusion 2025 Update 10 và ColdFusion 2023 Update 21.
Ý chính
- 6 lỗi đạt CVSS 10.0, đều dẫn tới thực thi mã tuỳ ý (arbitrary code execution) không cần xác thực: upload file nguy hiểm không giới hạn (CVE-2026-48276, CVE-2026-48283), improper input validation (CVE-2026-48277, CVE-2026-48281, CVE-2026-48316) và path traversal (CVE-2026-48282).
- Ngoài ra có lỗi đọc file hệ thống tuỳ ý CVE-2026-48313 (CVSS 9.3), leo thang đặc quyền CVE-2026-48315 (9.3), XSS phản chiếu CVE-2026-48307 (8.8) và SSRF CVE-2026-48285 (8.6).
- Adobe cho biết chưa ghi nhận khai thác trong thực tế tại thời điểm phát hành, nhưng Priority 1 đồng nghĩa rủi ro bị nhắm tới rất cao.
- Khuyến nghị kèm theo: cập nhật JDK/JRE LTS mới nhất, cấu hình
jdk.serialFilterchống deserialization trên bản cài JEE, và áp dụng Lockdown Guide.
ColdFusion vẫn hiện diện nhiều trong hệ thống doanh nghiệp/chính phủ lâu năm — các đội vận hành nên vá sớm.
Nguồn gốc
Adobe PSIRT
#Adobe#ColdFusion#CVE#RCE#patch
Bản tóm tắt được biên soạn bởi trợ lý AI của ORA·tech. Đọc bài gốc để có đầy đủ ngữ cảnh.
Bài liên quan
Security & DevSecOps
GitHub mở Innersource Security Advisories cho doanh nghiệp
Security & DevSecOps
ACM hỗ trợ ACME, tự động cấp/gia hạn chứng chỉ TLS công khai
Security & DevSecOps