Adobe Patch Tuesday Tháng 6/2026: 'Kỳ lân' CVSS 10 và cách bản phát hành 123 lỗi so với kỷ lục của Microsoft

Như Zero Day Initiative đã nhận định trong phân tích của mình, "Một lỗi CVSS 10 đã là hiếm; hai lỗi trong cùng một bản tin thì gần như là 'kỳ lân' rồi" . Điểm CVSS tuyệt đối này cho thấy lỗ hổng rất dễ bị khai thác từ xa, không yêu cầu tương tác từ người dùng và có thể gây ra tác động thảm khốc đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống.

Mặc dù có mức độ nghiêm trọng cao, tại thời điểm phát hành, Adobe cho biết họ chưa ghi nhận bất kỳ cuộc tấn công nào đang khai thác các lỗ hổng Campaign Classic này. Tuy nhiên, các nhà nghiên cứu bảo mật đã kêu gọi vá lỗi ngay lập tức, dự đoán sẽ có nhiều nỗ lực nghiên cứu để tạo ra các mã khai thác bằng chứng khái niệm (PoC) . Bản vá áp dụng cho Campaign Classic ACC v7 bản build 9394 trở về trước trên cả hai nền tảng Windows và Linux .

Các bản vá ưu tiên số 1: ColdFusion và Campaign Classic

Cùng với Campaign Classic, các bản cập nhật Adobe ColdFusion (APSB26-64) cũng được gán mức ưu tiên triển khai là 1, mức cao nhất của hãng, dành cho các lỗ hổng có nguy cơ bị nhắm mục tiêu cao . Adobe đã vá các lỗ hổng nghiêm trọng và quan trọng trong ColdFusion 2025 và 2023 có thể dẫn đến thực thi mã tùy ý, leo thang đặc quyền và vượt qua tính năng bảo mật .

Chỉ có hai bản tin cho Campaign Classic và ColdFusion nhận được chỉ định Priority 1 này. Tất cả các sản phẩm khác trong bản phát hành tháng Sáu, bao gồm Experience Manager và InDesign, đều được gán mức Priority 3, cho thấy Adobe hiện đánh giá chúng ít có khả năng bị khai thác trong các cuộc tấn công thực tế .

Phạm vi vá lỗi trên tất cả các sản phẩm bị ảnh hưởng

123 mã lỗi CVE duy nhất đã được phát hành trên 11 tư vấn bảo mật. Theo Qualys, 47 trong số các lỗ hổng được vá được xếp hạng nghiêm trọng, việc khai thác thành công có thể dẫn đến thực thi mã tùy ý, leo thang đặc quyền và vượt qua tính năng bảo mật . Danh sách đầy đủ các sản phẩm bị ảnh hưởng bao gồm:

• Adobe Experience Manager và Experience Manager Forms: Một phần đáng kể các lỗ hổng tập trung ở đây, bao gồm nhiều lỗi cross-site scripting (XSS) có thể dẫn đến thực thi mã tùy ý .
• Adobe ColdFusion (APSB26-64): Các lỗ hổng nghiêm trọng và quan trọng trong các phiên bản 2025 và 2023 dẫn đến thực thi mã và leo thang đặc quyền .
• Adobe Campaign Classic (APSB26-66): Hai lỗ hổng CVSS 10 hiếm gặp cho phép thực thi mã tùy ý .
• Adobe Acrobat và Reader, InDesign, InCopy, Substance 3D Sampler, Content Credentials SDK (SDK Xác thực Nội dung), Dreamweaver và Format Plugins: Tất cả đều nhận được bản vá cho các lỗi nghiêm trọng và quan trọng liên quan đến thực thi mã, rò rỉ bộ nhớ và từ chối dịch vụ .

Đối với một số sản phẩm, bao gồm Content Credentials SDK và InDesign, Adobe đã xác nhận rõ ràng rằng họ không ghi nhận bất kỳ cuộc khai thác thực tế nào cho các vấn đề đã được giải quyết .

Adobe vs. Microsoft: Câu chuyện của hai ngày Patch Tuesday

Đợt phát hành 123 lỗ hổng của Adobe, tuy lớn, nhưng đã bị lu mờ một cách đáng kể bởi bản Patch Tuesday tháng 6/2026 phá vỡ kỷ lục của Microsoft, được nhiều hãng bảo mật báo cáo là đã vá từ 198 đến 211 lỗ hổng .

Bản phát hành của Microsoft là một ngoại lệ lịch sử, phá vỡ kỷ lục 175 CVE trước đó được thiết lập vào tháng 10 năm 2025 . Khi tính cả các bản vá cho trình duyệt dựa trên Chromium dành cho Edge, tổng số lỗ hổng được Microsoft xử lý trong tháng 6 đã tăng vọt lên hơn 570, làm dấy lên các cuộc thảo luận trong ngành về một "Ngày tận thế vá lỗi" (Patch Apocalypse) . Trong khi đó, bản phát hành của Adobe, mặc dù lớn, phù hợp hơn với xu hướng các bản cập nhật lớn theo quý của hãng .

Các đội ngũ IT nên ưu tiên điều gì lúc này?

Đối với các quản trị viên hệ thống, thứ tự ưu tiên triển khai là rất rõ ràng. Các bản cập nhật cho Adobe Campaign Classic và ColdFusion nên đứng đầu danh sách vá lỗi vì chúng có mức Priority 1 và bản chất cực kỳ nghiêm trọng của các lỗ hổng, đặc biệt là hai lỗi CVSS 10. Mặc dù chưa phát hiện cuộc tấn công nào trong thực tế, nhưng tác động tiềm tàng và lịch sử ColdFusion thường xuyên là mục tiêu ưa thích của những kẻ tấn công khiến việc vá lỗi nhanh chóng trở nên thiết yếu .