1月13日Adobe針對旗下13款應用程式發布更新,總共修補25個漏洞,其中有18個被列為重大層級,比起12月公布的139個漏洞,數量已大幅下降。值得留意的是,本次最為危險而受到高度關注的漏洞,是出現在網頁應用程式開發平臺ColdFusion的CVE-2025-66516,Adobe呼籲企業,應優先安排ColdFusion更新的部署。
CVE-2025-66516出現在ColdFusion採用的文件內容分析元件Apache Tika,屬於XML外部實體(XXE)型態的漏洞,攻擊者只要發送嵌入XML Forms Architecture(XFA)表單的特製PDF檔案,就有機會在未經驗證的情況下,遠端讀取伺服器敏感資料,或是對內部系統發送請求,過程完全不需使用者互動,CVSS風險達到10分(滿分10分),Adobe發布ColdFusion 2025 Update 6與ColdFusion 2023 Update 18修補,並將其更新程式的部署優先順序列為第1級。
從修補重大漏洞數量來看,DreamWeaver本次修補5個漏洞最多,也相當值得留意。這些漏洞涵蓋作業系統命令注入、輸入驗證不夠周延,以及授權不正確型態的弱點,可被用於執行任意程式碼或任意寫入系統檔案,風險值介於7.8至8.6分。
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
Advertisement