5月13日Adobe發布每月例行更新,針對旗下13款產品發布軟體更新,修補39項資安弱點,數量較上個月54個減少。值得留意的是,這次大部分的漏洞都被評為重大層級,僅有8個列為高度及中度層級。

從修補的優先順序來看,應用程式開發平臺ColdFusion最值得留意,因為Adobe將其修補的優先順序列為最高(第1級),這樣的情況與上個月相同。此外,從漏洞的數量來看,這次ColdFusion修補的漏洞最多,有7個,但其中6個被評為重大風險,有5個CVSS風險達到9.1分,1個為8.4分,遠高於其他應用程式的重大漏洞危險程度(7.8分)。

這些漏洞分別是:CVE-2025-43559、CVE-2025-43560、CVE-2025-43561、CVE-2025-43562、CVE-2025-43563、CVE-2025-43564、CVE-2025-43565,大部分可被用於執行任意程式碼,其中的CVE-2025-43559能讀取任意系統檔案,而CVE-2025-43563則與權限提升有關。這些漏洞涉及不當輸入驗證、不當存取控制、作業系統命令注入,以及不當授權。Adobe發布了ColdFusion 2025 Update 2、ColdFusion 2023 Update 14、ColdFusion 2021 Update 20修補上述漏洞。

但除了上述的ColdFusion重大漏洞,存在於視訊會議系統Adobe Connect的弱點也值得留意,其中CVE-2025-43567為反射跨網站指令碼(Reflected XSS)漏洞,攻擊者可用來注入惡意指令碼,從而在使用者存取網頁的時候執行,一旦成功利用,就能挾持連線階段(Session),從而提升權限,CVSS風險達到9.3分,是這次修補最為危險的漏洞。

熱門新聞

Advertisement