Adobe vá 11 lỗ hổng nghiêm trọng trong ColdFusion ảnh hưởng đến các phiên bản 2021, 2023 và 2025

Adobe đã phát hành bản cập nhật bảo mật để khắc phục 30 lỗ hổng trong nền tảng ColdFusion, trong đó có 11 lỗ hổng được đánh giá là nghiêm trọng, có thể dẫn đến đọc tệp trái phép, thực thi mã tùy ý và vượt qua các tính năng bảo mật.

Các lỗ hổng nghiêm trọng được vá bao gồm:

• CVE-2025-24446 (CVSS 9.1): Lỗi xác thực đầu vào không đúng cách, cho phép đọc tệp hệ thống tùy ý.

• CVE-2025-24447 (CVSS 9.1): Lỗi giải tuần tự dữ liệu không đáng tin cậy, có thể dẫn đến thực thi mã tùy ý.

• CVE-2025-30281 (CVSS 9.1): Lỗi kiểm soát truy cập không đúng cách, cho phép đọc tệp hệ thống tùy ý.

• CVE-2025-30282 (CVSS 9.1): Lỗi xác thực không đúng cách, có thể dẫn đến thực thi mã tùy ý.

• CVE-2025-30284 (CVSS 8.0) và CVE-2025-30285 (CVSS 8.0): Lỗi giải tuần tự dữ liệu không đáng tin cậy, có thể dẫn đến thực thi mã tùy ý.

• CVE-2025-30286 (CVSS 8.0) và CVE-2025-30289 (CVSS 7.5): Lỗi chèn lệnh hệ điều hành, có thể dẫn đến thực thi mã tùy ý.

• CVE-2025-30287 (CVSS 8.1): Lỗi xác thực không đúng cách, có thể dẫn đến thực thi mã tùy ý.

• CVE-2025-30288 (CVSS 7.8): Lỗi kiểm soát truy cập không đúng cách, có thể dẫn đến vượt qua tính năng bảo mật.

• CVE-2025-30290 (CVSS 8.7): Lỗi vượt qua đường dẫn, có thể dẫn đến vượt qua tính năng bảo mật.

Các lỗ hổng nghiêm trọng trong ColdFusion có thể bị khai thác để thực thi mã độc, truy cập trái phép vào hệ thống và vượt qua các biện pháp bảo mật. Kaspersky khuyến nghị:

• Cập nhật ngay lập tức: Cài đặt các bản vá bảo mật mới nhất cho ColdFusion.

• Kiểm tra hệ thống: Đánh giá lại cấu hình bảo mật và kiểm tra các dấu hiệu xâm nhập.

• Tăng cường bảo mật: Áp dụng các biện pháp bảo mật bổ sung như tường lửa ứng dụng web (WAF) và giám sát hệ thống liên tục.

Việc cập nhật kịp thời và thực hiện các biện pháp bảo mật phù hợp sẽ giúp bảo vệ hệ thống khỏi các mối đe dọa mạng ngày càng tinh vi.

Hương - Theo TheHackerNews