Cập nhật bản vá lỗ hổng bảo mật tháng 4/2026

Microsoft

Microsoft đã phát hành bản vá Patch Tuesday tháng 4/2026 để giải quyết 164 lỗ hổng bảo mật (8 lỗi nghiêm trọng), bao gồm 02 lỗ hổng zero-day. Theo đó, bản vá Patch Tuesday tháng này khắc phục 90 lỗ hổng leo thang đặc quyền; 20 lỗ hổng thực thi mã từ xa; 21 lỗ hổng tiết lộ thông tin; 9 lỗ hổng từ chối dịch vụ (DoS); 14 lỗ hổng vượt qua tính năng bảo mật; 8 lỗ hổng giả mạo (Spoofing); 2 lỗ hổng Tampering. Số lượng này không bao gồm 9 lỗ hổng của Mariner, Azure và Bing đã được khắc phục sớm vào đầu tháng.

Bên cạnh đó, Microsoft cũng đã khắc phục nhiều lỗi thực thi mã từ xa trong Microsoft Office (Word và Excel) có thể được thực thi thông qua preview pane hoặc bằng cách mở các tài liệu độc hại. Do đó, người dùng nên ưu tiên cập nhật Microsoft Office càng sớm càng tốt, đặc biệt nếu họ thường xuyên nhận tệp đính kèm.

Trong số 2 lỗ hổng zero-day được vá, một lỗ hổng ảnh hưởng đến SharePoint (CVE-2026-32201), vốn đã bị lợi dụng trong các cuộc tấn công. “Việc kiểm tra tính hợp lệ của dữ liệu đầu vào trong Microsoft Office SharePoint cho phép kẻ tấn công trái phép thực hiện hành vi giả mạo qua mạng”, Microsoft giải thích. Theo gã khổng lồ công nghệ, kẻ tấn công khai thác thành công lỗ hổng này có thể xem một số thông tin nhạy cảm và thực hiện thay đổi đối với thông tin đã được tiết lộ.

Trong khi đó, lỗ hổng zero-day thứ hai là CVE-2026-33825. Đây là một lỗi leo thang đặc quyền và ảnh hưởng đến Microsoft Defender, nếu khai thác thành công có thể cho phép kẻ tấn công có được đặc quyền SYSTEM.
​

Adobe

Cũng trong tháng 4, Adobe đã công bố các bản vá cho 55 lỗ hổng bảo mật trên 11 sản phẩm của hãng. Gần như tất cả 11 cảnh báo mới đều có mức độ “priority” ưu tiên là 3, điều này cho thấy gã khổng lồ phần mềm không dự đoán chúng sẽ bị lợi dụng trong các cuộc tấn công.

Tuy nhiên, một cảnh báo cho biết 5 lỗ hổng bảo mật nghiêm trọng của ColdFusion có mức độ priority là 1, cho thấy các công ty nên ưu tiên vá lỗi vì sản phẩm này từ lâu đã là mục tiêu của các tác nhân đe dọa. Trong những năm gần đây, các lỗ hổng bảo mật của ColdFusion dù được vá trong các bản cập nhật mới nhất, nhưng vẫn có thể bị khai thác để vượt qua các tính năng bảo mật, đọc các tệp tin từ hệ thống và thực thi mã tùy ý.

Các lỗ hổng thực thi mã nghiêm trọng cũng đã được khắc phục trong Acrobat Reader, InDesign, InCopy, FrameMaker, Connect, Bridge, Photoshop và Illustrator. Một số lỗ hổng nghiêm trọng khác, bao gồm cả những lỗi thực thi mã, tấn công DoS và leo thang đặc quyền, cũng được Adobe giải quyết trong Experience Manager Screens và DNG SDK.

Công ty không phát hiện bất kỳ lỗ hổng nào bị khai thác trên thực tế. Tuy nhiên, vài ngày trước Adobe đã công bố các bản vá cho CVE-2026-34621, một lỗ hổng zero-day chưa được vá trên Acrobat và Reader, dường như đã bị khai thác trong nhiều tháng.

SAP

Ở một động thái khác, SAP thông báo khắc phục 20 lỗ hổng bảo mật trong bản vá Patch Tuesday tháng 4. Đáng chú ý nhất là CVE-2026-27681 (điểm CVSS: 9.9), một lỗi tấn công SQL injection nghiêm trọng trong Business Planning and Consolidation và Business Warehouse, có thể dẫn đến thực thi mã tùy ý.

Theo Jonathan Stross, quản lý sản phẩm cấp cao của Pathlock, chức năng tải lên có thể bị khai thác để lạm dụng trực tiếp cơ sở dữ liệu, cho phép kẻ tấn công đọc và chỉnh sửa dữ liệu mà không cần sự tương tác của người dùng. Onapsis cho biết, SAP đã giải quyết lỗ hổng này bằng cách vô hiệu hóa hoàn toàn mã thực thi.

Bên cạnh đó, SAP cũng phát hành một bản tin bảo mật nhằm khắc phục lỗ hổng kiểm tra ủy quyền bị thiếu trong ERP và S/4 HANA. Được theo dõi với mã CVE-2026-34256, lỗ hổng này có thể bị khai thác để thực thi một chương trình ABAP và ghi đè lên các chương trình thực thi tám ký tự hiện có.

Trong số các ghi chú bảo mật còn lại, 16 ghi chú (15 ghi chú mới và 1 ghi chú được cập nhật) đề cập đến các lỗ hổng có mức độ trung bình có thể dẫn đến tiết lộ thông tin, tấn công DoS, XSS, chèn mã, chuyển hướng đến nội dung độc hại hoặc thực thi mã trong trình duyệt của nạn nhân. Hai ghi chú còn lại đề cập đến các lỗi chèn mã trong NetWeaver và Landscape Transformation.

SAP không đề cập đến việc bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế. Người dùng được khuyến cáo nên áp dụng các bản vá bảo mật càng sớm càng tốt.

Ivanti

Trong tháng 4, Ivanti đã phát hành bản cập nhật Neurons for ITSM phiên bản 2025.4 để khắc phục hai lỗ hổng bảo mật ảnh hưởng trên nền tảng on-premise và trên đám mây. Lỗi đầu tiên, được theo dõi với mã CVE-2026-4913 (điểm CVSS: 5.7), được mô tả là việc bảo vệ không đúng cách một đường dẫn thay thế. Theo công ty, điều này có thể cho phép kẻ tấn công từ xa đã được xác thực vẫn có thể truy cập ngay cả khi tài khoản của chúng đã bị vô hiệu hóa.

Lỗ hổng thứ hai là CVE-2026-4914 (điểm CVSS: 5.4), một lỗ hổng XSS stored có thể bị lợi dụng từ xa để lấy thông tin hạn chế từ các phiên người dùng khác. Việc khai thác thành công lỗ hổng này đòi hỏi phải có xác thực và tương tác giữa người dùng.
​Hồng Đạt