Adobe vá khẩn cấp hai lỗ hổng zero-day trong AEM Forms

11:01, 10/08/2025

Mới đây, Adobe đã phát hành bản cập nhật bảo mật nhằm khắc phục hai lỗ hổng zero-day trong Adobe Experience Manager (AEM) Forms trên JEE, sau khi chuỗi khai thác PoC bị tiết lộ, có thể được sử dụng để thực thi mã từ xa không xác thực trên các phiên bản dễ bị tấn công.

Theo đó, các lỗ hổng được Adobe vá bao gồm CVE-2025-54253 và CVE-2025-54254. Với CVE-2025-54253 (điểm CVSS: 8.6), đây là lỗ hổng cấu hình sai cho phép thực thi mã tùy ý. Lỗi này nằm trong module/adminui, Adobe để chế độ phát triển (development mode) bật mặc định, vốn không nên xuất hiện ở môi trường sản phẩm. Điều này cho phép kẻ tấn công gửi lệnh đặc biệt (OGNL expressions) để thực thi mã tùy ý qua HTTP mà không cần đăng nhập.

Mặt khác, CVE-2025-54254 (điểm CVSS: 10) liên quan đến dịch vụ xác thực SOAP - một phần trong AEM Forms. Bằng cách gửi một tệp tin XML được thiết kế đặc biệt, tin tặc có thể “đánh lừa” máy chủ tiết lộ các tệp tin cục bộ (ví dụ như win.ini) mà không cần xác thực, cho phép chúng đọc hệ thống tệp tùy ý.

Thực tế, các lỗ hổng bảo mật này đã được các nhà nghiên cứu Shubham Shah và Adam Kues đến từ công ty an ninh mạng Searchlight Cyber (Vương quốc Anh) phát hiện và tiết lộ cho Adobe vào ngày 28/4/2025, cùng với lỗ hổng thứ ba là CVE-2025-49533.

Adobe ban đầu đã vá lỗ hổng CVE-2025-49533 vào ngày 5/8, tuy nhiên hai lỗ hổng còn lại không được khắc phục sau hơn 90 ngày kể từ khi được cảnh báo, điều này làm dấy lên mối lo ngại về quy trình vá lỗi chậm trễ của Adobe.

Theo các nhà nghiên cứu, CVE-2025-49533 là một lỗ hổng Java deserialization trong mô-đun FormServer, cho phép thực thi mã từ xa không cần xác thực. Cụ thể, FormServer xử lý dữ liệu đầu vào mà không kiểm tra kỹ, dẫn tới việc tin tặc có thể gửi các payload độc hại để thực thi các lệnh trên máy chủ, thông qua quá trình giải mã đối tượng Java (deserialization) để chiếm quyền điều khiển.

Vì các lỗ hổng cho phép thực thi mã từ xa trên các máy chủ dễ bị tấn công, tất cả quản trị viên được khuyến nghị nên cài đặt các bản cập nhật mới nhất càng sớm càng tốt, đồng thời hạn chế quyền truy cập đầu vào từ Internet.

Từ khóa: lỗ hổng zero-dayAdobe

Bài khác

Adobe vá khẩn cấp hai lỗ hổng zero-day trong AEM Forms Adobe vá khẩn cấp hai lỗ hổng zero-day trong AEM Forms
11:01 am, 10/08/2025
Chi phí cao và lợi nhuận mỏng đang đe dọa các startup lập trình AI Chi phí cao và lợi nhuận mỏng đang đe dọa các startup lập trình AI
01:16 pm, 09/08/2025
Rủi ro phía sau cuộc thanh lọc nhân sự vì AI Rủi ro phía sau cuộc thanh lọc nhân sự vì AI
09:07 am, 09/08/2025
Phản ứng của các quốc gia và hãng chip về tuyên bố Phản ứng của các quốc gia và hãng chip về tuyên bố "áp 100% thuế chip nhập khẩu vào Hoa Kỳ"
09:05 am, 09/08/2025
Apple cam kết đầu tư thêm 100 tỷ USD vào sản xuất nội địa Mỹ Apple cam kết đầu tư thêm 100 tỷ USD vào sản xuất nội địa Mỹ
08:07 am, 09/08/2025
Không trả phí vẫn có thể sử dụng GPT-5 Không trả phí vẫn có thể sử dụng GPT-5
02:17 pm, 08/08/2025
Ấn Độ phát triển công nghệ thân thiện môi trường 'xóa' núi rác Ấn Độ phát triển công nghệ thân thiện môi trường 'xóa' núi rác
12:54 pm, 08/08/2025
Meta chuyển hướng chiến lược AI sang “siêu trí tuệ cá nhân” và sự tham gia của người dùng Meta chuyển hướng chiến lược AI sang “siêu trí tuệ cá nhân” và sự tham gia của người dùng
09:06 am, 08/08/2025
Chứng khoán Mỹ tăng điểm nhờ cổ phiếu Apple, giá dầu xuống đáy 8 tuần Chứng khoán Mỹ tăng điểm nhờ cổ phiếu Apple, giá dầu xuống đáy 8 tuần
12:11 pm, 07/08/2025
Nhu cầu điện năng ở các trung tâm dữ liệu tại APAC sẽ tăng từ 15% đến 20% Nhu cầu điện năng ở các trung tâm dữ liệu tại APAC sẽ tăng từ 15% đến 20%
12:10 pm, 07/08/2025

Bài mới nhất

Công an xã Vân Đình cảnh báo các thủ đoạn lừa đảo chiếm đoạt tài sản qua không gian mạng Công an xã Vân Đình cảnh báo các thủ đoạn lừa đảo chiếm đoạt tài sản qua không gian mạng
Cục Cơ yếu Đảng - Chính quyền kỷ niệm 30 năm Ngày truyền thống Cục Cơ yếu Đảng - Chính quyền kỷ niệm 30 năm Ngày truyền thống
Vùng phát thải thấp ở TP Hồ Chí Minh dự kiến gồm khu vực nào? Vùng phát thải thấp ở TP Hồ Chí Minh dự kiến gồm khu vực nào?
Rực rỡ Lễ hội hoa dơn thóc giữa mùa vàng Sa Pa Rực rỡ Lễ hội hoa dơn thóc giữa mùa vàng Sa Pa
Chi phí cao và lợi nhuận mỏng đang đe dọa các startup lập trình AI Chi phí cao và lợi nhuận mỏng đang đe dọa các startup lập trình AI
Cảnh báo thủ đoạn giả danh công ty tài chính cho vay ưu đãi trên mạng để lừa đảo Cảnh báo thủ đoạn giả danh công ty tài chính cho vay ưu đãi trên mạng để lừa đảo
Thành phố Thiên niên kỷ T&T City Millennia sắp đón nhận 2 kỷ lục Việt Nam Thành phố Thiên niên kỷ T&T City Millennia sắp đón nhận 2 kỷ lục Việt Nam
Rủi ro phía sau cuộc thanh lọc nhân sự vì AI Rủi ro phía sau cuộc thanh lọc nhân sự vì AI
Triển khai hiệu quả thỏa thuận hợp tác dầu khí giữa Việt Nam và Angola Triển khai hiệu quả thỏa thuận hợp tác dầu khí giữa Việt Nam và Angola
Phản ứng của các quốc gia và hãng chip về tuyên bố Phản ứng của các quốc gia và hãng chip về tuyên bố "áp 100% thuế chip nhập khẩu vào Hoa Kỳ"
Nghiên cứu thu phí “0 đồng” khi thực hiện thủ tục hành chính trực tuyến Nghiên cứu thu phí “0 đồng” khi thực hiện thủ tục hành chính trực tuyến
Tạo dựng kho tiền USD cổ và thiên thạch “ảo” để chiếm đoạt hơn 20 tỷ đồng Tạo dựng kho tiền USD cổ và thiên thạch “ảo” để chiếm đoạt hơn 20 tỷ đồng
Apple cam kết đầu tư thêm 100 tỷ USD vào sản xuất nội địa Mỹ Apple cam kết đầu tư thêm 100 tỷ USD vào sản xuất nội địa Mỹ
Kinh nghiệm quốc tế và bài học để startup fintech Việt Kinh nghiệm quốc tế và bài học để startup fintech Việt "rộng cửa thành kỳ lân"
Đà Nẵng tổ chức hội thảo “Ứng dụng trí tuệ nhân tạo (AI) trong công nghiệp bán dẫn và điện tử” Đà Nẵng tổ chức hội thảo “Ứng dụng trí tuệ nhân tạo (AI) trong công nghiệp bán dẫn và điện tử”