Cập nhật bản vá lỗ hổng bảo mật tháng 9/2025

Microsoft

Trung tuần tháng 9, Microsoft đã phát hành bản vá Patch Tuesday để giải quyết 81 lỗ hổng bảo mật trong các sản phẩm của mình, 8 lỗ hổng trong số này được đánh giá nghiêm trọng.

Cụ thể, 81 lỗ hổng được khắc phục trong bản vá Patch Tuesday tháng 9 bao gồm: 38 lỗ hổng leo thang đặc quyền; 22 lỗ hổng thực thi mã từ xa; 14 lỗ hổng tiết lộ thông tin; 04 lỗ hổng từ chối dịch vụ; 01 lỗ hổng giả mạo; 02 bypass tính năng bảo mật. Số lượng này không bao gồm các lỗ hổng Azure, Dynamics 365 FastTrack Implementation Assets, Mariner, Microsoft Edge và Xbox đã được khắc phục sớm vào đầu tháng này.

Đáng chú ý, Microsoft đã khắc phục 2 lỗ hổng zero-day tiết lộ công khai trong bản cập nhật tháng 9. Lỗ hổng thứ nhất định danh CVE-2025-55234, kẻ tấn công khai thác thành công lỗ hổng này có thể thực hiện các cuộc tấn công chuyển tiếp và dẫn đến leo thang đặc quyền. Gã khổng lồ công nghệ cho biết, Windows đã bao gồm các thiết lập để tăng cường bảo mật cho máy chủ SMB trước mối đe dọa này, bao gồm kích hoạt SMB Server Signing và SMB Server Extended Protection for Authentication (EPA). Tuy nhiên, việc bật các tính năng này có thể gây ra sự cố về khả năng tương thích với các thiết bị và hệ thống cũ.

Lỗ hổng zero-day thứ hai được khắc phục là CVE-2024-21907, lỗ hổng này bắt nguồn từ thư viện Newtonsoft[.]Json phiên bản trước 13.0.1 tích hợp trong SQL Server. Theo Microsoft, dữ liệu được tạo ra và truyền đến phương thức JsonConvert[.]DeserializeObject có thể kích hoạt ngoại lệ StackOverflow dẫn đến DoS.

Adobe

Cũng trong tháng 9, Adobe đã phát hành bản vá bảo mật để giải quyết 22 lỗ hổng bảo mật trong 9 sản phẩm của hãng, bao gồm Adobe Acrobat Reader, Adobe After Effects, Adobe Premiere Pro, Adobe Commerce, Adobe Substance 3D Viewer, Adobe Experience Manager, Adobe Dreamweaver, Adobe 3D Substance Modeler và Adobe ColdFusion.  Đáng lưu ý, có tới 12 lỗ hổng được vá xếp hạng nghiêm trọng. Theo Adobe, việc khai thác thành công các lỗ hổng này có thể dẫn đến bypass tính năng bảo mật và thực thi mã tùy ý.

Lỗ hổng nghiêm trọng đáng chú ý được công ty vá trong bản cập nhật tháng này là CVE-2025-54261 (điểm CVSS: 9.0), lỗ hổng path traversal này có thể dẫn đến ghi đè tùy ý vào hệ thống tệp và ảnh hưởng đến phiên bản ColdFusion 2021, 2023 và 2025 trên tất cả các nền tảng.

Ngoài ra, một lỗ hổng nghiêm trọng khác cũng đã Adobe khắc phục trong Commerce và Magento Open Source. Với mã định danh CVE-2025-54236, lỗ hổng này có thể bị kẻ tấn công chưa xác thực khai thác để bypass tính năng bảo mật. Theo Adobe nhận định, các lỗ hổng Magento thường bị khai thác trên thực tế.

SAP

Ở một động thái khác, SAP đã phát hành bản vá Patch Tuesday tháng 9 để giải quyết 26 lỗ hổng bảo mật, trong đó bao gồm 03 lỗ hổng nghiêm trọng ảnh hưởng đến giải pháp phần mềm NetWeaver. Lỗ hổng nghiêm trọng nhất được khắc phục với mã định danh CVE-2025-42944 (điểm CVSS: 10.0), đây là lỗ hổng giải tuần tự hóa không an toàn trong SAP NetWeaver (RMIP4), ServerCore 7.50. Kẻ tấn công chưa  xác thực có thể khai thác lỗ hổng này để thực thi lệnh hệ điều hành tùy ý, bằng cách gửi đến cổng mở của một đối tượng Java độc hại thông qua mô-đun RMI-P4.

Theo bản tin bảo mật, lỗ hổng nghiêm trọng thứ hai mà SAP đã khắc phục trong tháng này là CVE-2025-42922 (điểm CVSS: 9.9), một lỗ hổng hoạt động tệp không an toàn ảnh hưởng đến NetWeaver AS Java (Deploy Web Service), J2EE-APPS 7.50. Kẻ tấn công có quyền truy cập được xác thực (không phải quản trị viên) có thể khai thác lỗ hổng trong chức năng triển khai dịch vụ web, để tải lên các tệp tùy ý, dẫn đến khả năng xâm phạm toàn bộ hệ thống.

Một lỗ hổng đáng chú ý khác là CVE-2025-42958 (điểm CVSS: 9.1), nguyên nhân dẫn đến lỗ hổng này nằm ở việc thiếu kiểm tra xác thực trong NetWeaver, cho phép người dùng có đặc quyền cao trái phép đọc, sửa đổi hoặc xóa dữ liệu nhạy cảm và truy cập vào chức năng quản trị.

Ivanti

Trong tháng 9, Ivanti đã phát hành bản vá Patch Tuesday để khắc phục 13 lỗ hổng bảo mật ảnh hưởng đến các sản phẩm của hãng. Trong đó, có 02 lỗ hổng xác thực tệp nghiêm trọng trong EPM có thể bị khai thác từ xa và không cần xác thực, từ đó kẻ tấn công có thể để thực thi mã tùy ý. Tuy nhiên, việc khai thác các lỗ hổng này đều yêu cầu sự tương tác của người dùng.

Ngoài ra, bản vá Patch Tuesday của Ivanty còn giải quyết 05 lỗ hổng nghiêm trọng và 06 lỗ hổng trung bình khác trong Connect Secure, Policy Secure, ZTA Gateways và Neurons for Secure Access. Các lỗ hổng bảo mật nghiêm trọng nhất đã được vá bao gồm sự cố thiếu quyền cấp phép dẫn đến chiếm đoạt kết nối HTML5; lỗ hổng CSRF có thể thực hiện các hành động nhạy cảm mà không được xác thực; lỗ hổng thiếu quyền cấp phép, cho phép kẻ tấn công cấu hình các thiết lập liên quan đến xác thực.

Ivanti lưu ý trong thông báo cập nhật bảo mật của mình rằng: “Chúng tôi không phát hiện bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế”.