Theo TechRadar, Adobe vừa phát hành bản vá cho hai lỗ hổng nghiêm trọng trong phần mềm dành cho doanh nghiệp Experience Manager (Adobe AEM), trong đó có một lỗ hổng mức độ cao nhất cho phép tin tặc chạy mã độc tùy ý trên hệ thống bị ảnh hưởng. Adobe khẳng định “chưa biết” trường hợp khai thác trong thực tế, nhưng đã xác nhận sự tồn tại của các bằng chứng PoC đang lan truyền. Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã đưa lỗ hổng vào danh mục KEV (known exploited vulnerability), tức là đã bị sử dụng trong các vụ tấn công thực tế.
Lỗ hổng nghiêm trọng trong Adobe AEM bị khai thác cho phép truy cập trái phép, buộc các tổ chức phải vá khẩn để tránh rủi ro kiểm soát hệ thống và rò rỉ dữ liệu
ẢNH: AVAST
AEM là hệ thống quản trị nội dung doanh nghiệp (CMS) của Adobe, phục vụ cho việc xây dựng và quản lý website, ứng dụng di động và các trải nghiệm kỹ thuật số. Nó hỗ trợ các tổ chức lớn trong việc tạo, tổ chức và phân phối nội dung cá nhân hóa qua nhiều kênh khác nhau.
Hai lỗ hổng được đánh số CVE‑2025‑54253 và CVE‑2025‑54254. Lỗi đầu tiên là “lỗ hổng cấu hình sai” (misconfiguration vulnerability), có thể bị lợi dụng để vượt qua các cơ chế bảo mật, được đánh giá ở mức 10/10 (critical). Lỗi thứ hai là “hạn chế không đúng trong tham chiếu thực thể ngoài XML (XXE)” (improper restriction of XML External Entity Reference), dẫn đến khả năng đọc hệ thống file tùy ý, cho phép kẻ tấn công truy cập các tệp nhạy cảm mà không cần tương tác người dùng, được chấm điểm 8,6/10 (high).
Cả hai lỗ hổng đều xuất hiện trong các phiên bản AEM 6.5.23 và trước đó. Bản vá được Adobe tung ra vào tháng 8, nâng công cụ lên phiên bản 6.5.0‑0108. Vào ngày 15.10, CISA đã thêm cả hai lỗi vào danh mục KEV, xác nhận các báo cáo về việc khai thác trong thực tế. Khi một lỗ hổng được đưa vào KEV, các cơ quan thuộc nhánh hành chính liên bang Mỹ (FCEB) phải áp dụng bản vá hoặc biện pháp khắc phục trong vòng ba tuần, hoặc ngưng dùng công cụ có lỗ hổng.
Adobe khuyến nghị các tổ chức và doanh nghiệp trong khu vực tư nhân nên làm theo vì tin tặc thường không phân biệt mục tiêu là cơ quan công hay doanh nghiệp tư nhân. Việc lỗ hổng bị đặt vào danh mục KEV cho thấy mối đe dọa không còn chỉ ở dạng tiềm ẩn mà đã được khai thác trong thực tế. Các tổ chức sử dụng AEM được khuyến cáo kiểm tra phiên bản hiện tại, áp dụng bản vá ngay lập tức và rà soát cấu hình hệ thống. Ngoài ra, nên giám sát truy cập hệ thống và sự bất thường trong file hệ thống để phát hiện dấu hiệu tấn công sớm.
