此篇文章報導了Adobe於5月13日發布的每月例行更新,針對旗下13款產品修補了39項資安漏洞,並指出此次更新中最值得關注的是應用程式開發平臺ColdFusion的多個高危漏洞。這些漏洞的風險等級高達9分以上,對企業和使用者的安全構成極大威脅。
從本次修補的漏洞數量來看,雖然總數有所減少(相較上月的54個漏洞,本月修補39個漏洞),但其中大部分漏洞被評為重大層級,僅有8個漏洞被評為中度和高度風險。根據Adobe的公告,ColdFusion的漏洞被列為最優先修補的項目,其中涉及7個漏洞,並且有6個漏洞被評為重大風險。尤其是這些漏洞的CVSS風險評分高達9.1分,顯示其潛在危害性極大。
具體來說,ColdFusion的漏洞(CVE-2025-43559至CVE-2025-43565)中,最為危險的包括CVE-2025-43559,該漏洞可讓攻擊者讀取任意系統檔案,另外CVE-2025-43563則涉及權限提升,使得攻擊者能夠在系統中獲得更高的操作權限。這些漏洞多數涉及不當輸入驗證、不當存取控制、作業系統命令注入以及不當授權等問題,給企業和使用者的資安帶來極大風險。因此,Adobe發布了ColdFusion 2025 Update 2、ColdFusion 2023 Update 14及ColdFusion 2021 Update 20來修補這些問題,建議使用者盡快進行更新以防範可能的攻擊。
此外,視訊會議系統Adobe Connect也存在一個高風險漏洞CVE-2025-43567,這是一個反射型跨網站指令碼(XSS)漏洞,攻擊者可利用此漏洞注入惡意指令碼,進而在使用者存取網頁時執行。這將允許攻擊者挾持用戶會話並提升權限。此漏洞的CVSS風險評分為9.3分,為本次更新中最危險的漏洞之一。
總結來說,本文強調了Adobe此次更新中兩個最為關鍵的漏洞修補領域:ColdFusion和Adobe Connect。由於這些漏洞的風險極高,Adobe強烈建議所有相關使用者儘速更新其系統,以減少可能的資安威脅,並保障系統的安全運行。
