Tất cả tin tức
Security & DevSecOps·13 ngày trước

Adobe vá 11 lỗi ColdFusion, 6 lỗi đạt CVSS tối đa 10.0

Adobe PSIRTTóm tắt bởi trợ lý AI ORA·tech
SEC

Bản tin APSB26-68 vá 11 lỗ hổng ColdFusion 2025/2023, trong đó 6 lỗi RCE không cần xác thực đạt CVSS 10.0; Adobe xếp Priority 1, khuyến nghị cập nhật ngay.

Adobe phát hành bản tin bảo mật APSB26-68 (30/6) vá 11 lỗ hổng trong ColdFusion 2025 (Update 9 trở về trước) và ColdFusion 2023 (Update 20 trở về trước), xếp Priority 1 — mức khẩn cấp cao nhất của Adobe. Bản vá nằm trong ColdFusion 2025 Update 10ColdFusion 2023 Update 21.

Ý chính

  • 6 lỗi đạt CVSS 10.0, đều dẫn tới thực thi mã tuỳ ý (arbitrary code execution) không cần xác thực: upload file nguy hiểm không giới hạn (CVE-2026-48276, CVE-2026-48283), improper input validation (CVE-2026-48277, CVE-2026-48281, CVE-2026-48316) và path traversal (CVE-2026-48282).
  • Ngoài ra có lỗi đọc file hệ thống tuỳ ý CVE-2026-48313 (CVSS 9.3), leo thang đặc quyền CVE-2026-48315 (9.3), XSS phản chiếu CVE-2026-48307 (8.8) và SSRF CVE-2026-48285 (8.6).
  • Adobe cho biết chưa ghi nhận khai thác trong thực tế tại thời điểm phát hành, nhưng Priority 1 đồng nghĩa rủi ro bị nhắm tới rất cao.
  • Khuyến nghị kèm theo: cập nhật JDK/JRE LTS mới nhất, cấu hình jdk.serialFilter chống deserialization trên bản cài JEE, và áp dụng Lockdown Guide.

ColdFusion vẫn hiện diện nhiều trong hệ thống doanh nghiệp/chính phủ lâu năm — các đội vận hành nên vá sớm.

Nguồn gốc
Adobe PSIRT
Đọc bài gốc
#Adobe#ColdFusion#CVE#RCE#patch
Bản tóm tắt được biên soạn bởi trợ lý AI của ORA·tech. Đọc bài gốc để có đầy đủ ngữ cảnh.

Bài liên quan

Chào bạn, mình là Nova. Có phần nào bạn muốn hiểu kỹ hơn không? Cứ nói với mình nhé. Bấm nút 🎤 để trò chuyện bằng giọng nói, hoặc gõ câu hỏi cho mình ngay bên dưới nhé!