-
09/04/2020
-
95
-
789 bài viết
Thống kê các lỗ hổng đáng chú ý trong Tháng 4/2025
Tháng 4/2025 tiếp tục ghi nhận là một tháng “nóng” với hàng loạt lỗ hổng nghiêm trọng được phát hiện và công bố. Từ các lỗ hổng zero-day, lỗi thực thi mã từ xa (RCE), leo thang đặc quyền, đến những điểm yếu trong nhân hệ điều hành và tấn công chuỗi cung ứng - tất cả đều đặt ra rủi ro lớn cho các hệ thống đang hoạt động.
STT | CVE | Điểm CVSS | Phân loại lỗ hổng | Thành phần bị ảnh hưởng | Phiên bản bị ảnh hưởng | Mô tả | Tình trạng bản vá |
1 | CVE-2024-20439 | 9,8 | Truy cập trái phép do tài khoản quản trị tĩnh (hardcoded admin credential) | Cisco Smart Licensing Utility (CSLU) trên Windows | Từ 2.0.0 đến trước 2.3.0 | Cho phép kẻ tấn công chưa xác thực thực hiện truy cập quản trị từ xa nhờ vào thông tin đăng nhập được nhúng (hardcoded credentials). | Đã vá |
2 | CVE-2024-20440 | 7,5 | Lỗ hổng tiết lộ thông tin | Cisco Smart Licensing Utility (CSLU) trên Windows | 2.0.0, 2.1.0, 2.2.0 | Cho phép tiết lộ thông tin nhạy cảm (API credentials...) khi gửi các HTTP request đặc biệt đến endpoint của CSLU. | Đã vá |
3 | CVE-2025-22457 | 9,8 | Stack-based Buffer Overflow | Web Component trong các sản phẩm gateway bảo mật (Connect Secure, Policy Secure, ZTA Gateway) | - Ivanti Connect Secure: Tất cả phiên bản trước 22.7R2.6 - Pulse Connect Secure 9.1x (EOL) - Ivanti Policy Secure: trước 22.7R1.4 - Ivanti ZTA Gateway: trước 22.8R2.2 | Kẻ tấn công khai thác để gây tràn bộ nhớ, triển khai mã độc TRAILBLAZE và BRUSHFIRE nhằm chiếm quyền điều khiển hệ thống, thực thi shellcode qua SSL hooks và xóa dấu vết bằng các công cụ ẩn mình như SPAWNSLOTH, SPAWNSNARE, SPAWNWAVE. | Đã vá |
4 | CVE-2025-27520 | 9,8 | Remote Code Execution (RCE) | Thư viện BentoML (file serde.py) – dùng trong triển khai mô hình Trí tuệ nhân tạo (AI) | Từ 1.3.4 đến trước 1.4.3 | Kẻ tấn công gửi HTTP request chứa dữ liệu độc hại, được xử lý bởi pickle.loads() trong mã nguồn mà không có xác thực hoặc kiểm tra an toàn, dẫn đến thực thi mã tùy ý trên hệ thống. | Đã vá |
5 | - CVE-2024-0132 (lỗ hổng gốc, bản vá chưa hoàn thiện) - CVE-2025-23359 (lỗ hổng mới phát hiện từ bản vá không hoàn chỉnh) | 9,0 | TOCTOU (Time-of-Check to Time-of-Use) Container Escape | NVIDIA Container Toolkit – đặc biệt khi tính năng allow-cuda-compat-libs-from-container được bật | Trước 1.17.4 | Kẻ tấn công đã có quyền thực thi mã trong container có thể khai thác điều kiện race do thiếu khóa đồng bộ trong hàm mount_files, từ đó thoát container và thực thi mã trên hệ thống chủ (host) với quyền root. | Đã vá |
6 | CVE-2024-53197 | Chưa có | Out-of-Bounds Read | Nhân Linux (Linux Kernel) | Các bản phân phối sử dụng kernel chưa được vá | Kẻ tấn công có thể đọc dữ liệu ngoài phạm vi bộ nhớ, từ đó rò rỉ thông tin nhạy cảm hoặc gây crash hệ thống | Chưa vá |
7 | CVE-2024-53150 | 7,1 | Out-of-Bounds Write → Privilege Escalation + Remote Code Execution (RCE) | Nhân Linux (Linux Kernel) | Các bản phân phối sử dụng kernel chưa được vá | Kẻ tấn công có thể ghi đè bộ nhớ kernel, từ đó leo thang đặc quyền hoặc thực thi mã tùy ý ở cấp hệ thống | Chưa vá |
8 | CVE-2022-42475 | 9,8 | Heap-based buffer overflow (RCE) | - FortiOS SSL-VPN, hệ thống tệp người dùng - Cấu trúc file hệ thống phục vụ ngôn ngữ giao diện (language files) | Các phiên bản FortiOS trước: - 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16 | Kẻ tấn công tạo symlink giữa hệ thống tệp người dùng và hệ thống gốc trong thư mục SSL-VPN. Điều này cho phép tiếp tục truy cập vào tệp cấu hình ngay cả sau khi bản vá được áp dụng, nhưng chỉ với quyền read-only, tránh bị phát hiện. Người dùng chưa từng bật SSL-VPN sẽ không bị ảnh hưởng. | Đã vá |
9 | CVE-2023-27997 | 9,8 | Pre-auth RCE via SSL-VPN | - FortiOS SSL-VPN, hệ thống tệp người dùng - Cấu trúc file hệ thống phục vụ ngôn ngữ giao diện (language files) | Các phiên bản FortiOS trước: - 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16 | Kẻ tấn công tạo symlink giữa hệ thống tệp người dùng và hệ thống gốc trong thư mục SSL-VPN. Điều này cho phép tiếp tục truy cập vào tệp cấu hình ngay cả sau khi bản vá được áp dụng, nhưng chỉ với quyền read-only, tránh bị phát hiện. Người dùng chưa từng bật SSL-VPN sẽ không bị ảnh hưởng. | Đã vá |
10 | CVE-2024-21762 | 8,6 | Out-of-bounds Write / Memory Corruption | - FortiOS SSL-VPN, hệ thống tệp người dùng - Cấu trúc file hệ thống phục vụ ngôn ngữ giao diện (language files) | Các phiên bản FortiOS trước: - 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16 | Kẻ tấn công tạo symlink giữa hệ thống tệp người dùng và hệ thống gốc trong thư mục SSL-VPN. Điều này cho phép tiếp tục truy cập vào tệp cấu hình ngay cả sau khi bản vá được áp dụng, nhưng chỉ với quyền read-only, tránh bị phát hiện. Người dùng chưa từng bật SSL-VPN sẽ không bị ảnh hưởng. | Đã vá |
11 | CVE-2025-22457 | 9,8 | Stack-based Buffer Overflow | Tệp nhị phân /home/bin/web trên thiết bị chạy Ivanti (Connect Secure, Policy Secure, ZTA Gateway) | - Ivanti Connect Secure ≤ 22.7R2.5 - Policy Secure < 22.7R1.4 - ZTA Gateway < 22.8R2.2 - Pulse Connect Secure 9.1x (EOL) | Kẻ tấn công gửi một header HTTP X-Forwarded-For có độ dài > 50 ký tự, gây tràn bộ đệm buff50 trên ngăn xếp. Hàm xử lý dùng strspn() để giới hạn ký tự là số và dấu chấm nhưng không kiểm tra độ dài trước khi sao chép vào bộ đệm bằng strlcpy() → cho phép chiếm đoạt luồng thực thi (RCE). Không cần xác thực và không cần tương tác người dùng. | Đã vá |
12 | CVE-2025-32754 | 8,8 | Credential Reuse / Weak SSH Host Key Management | - Docker image jenkins/ssh-agent ≤ 6.11.1 - Toàn bộ các phiên bản Docker image jenkins/ssh-slave | - jenkins/ssh-agent từ phiên bản đầu tiên đến ≤ 6.11.1 - Toàn bộ jenkins/ssh-slave | Kẻ tấn công có thể giả mạo build agent, chặn/chèn mã độc vào pipeline build, hoặc đánh cắp secrets được Jenkins truyền qua kết nối SSH. | Đã vá |
13 | CVE-2025-32755 | 8,8 | Insecure Default Configuration / Trust Erosion | - Docker image jenkins/ssh-agent ≤ 6.11.1 - Toàn bộ các phiên bản Docker image jenkins/ssh-slave | - jenkins/ssh-agent từ phiên bản đầu tiên đến ≤ 6.11.1 - Toàn bộ jenkins/ssh-slave | Kẻ tấn công tận dụng việc dùng lại SSH host key để thiết lập kết nối hợp lệ từ container giả mạo, vượt qua xác thực SSH trong môi trường Jenkins CI/CD. | Đã vá |
14 | CVE-2025-27840 | 9,1 | Supply Chain Backdoor + Cryptographic Weakness + ECC Manipulation | - Bộ vi điều khiển ESP32 (Microcontroller) - Các thiết bị sử dụng ESP32 cho xử lý ký số Bitcoin (ví lạnh, ví phần cứng, IoT tích hợp chức năng crypto) | Các firmware tùy biến hoặc build không an toàn sử dụng ESP32 | Kẻ tấn công lợi dụng lỗ hổng chuỗi cung ứng để cài firmware độc hại vào thiết bị ESP32, từ đó khai thác các lỗi mật mã ECC nhằm tạo private key không hợp lệ, giả mạo chữ ký, trích xuất khóa riêng và tạo public key giả. | Chưa vá |
15 | CVE-2025-32896 | 9,8 | - Insecure REST API Endpoint Access - Deserialization-based Remote Code Execution (RCE) - Arbitrary File Read | - Apache SeaTunnel - Đặc biệt là API endpoint cũ: /hazelcast/rest/maps/submit-job | Các phiên bản trước 2.3.11 | Kẻ tấn công chưa xác thực gửi các yêu cầu độc hại đến endpoint REST API v1 (/hazelcast/rest/maps/submit-job), chèn payload thông qua URL kết nối MySQL | Đã vá |
16 | CVE-2025-32102 | 8,6 | SSRF (Server-Side Request Forgery) | Endpoint /WebInterface/function/ trong CrushFTP server | Các phiên bản CrushFTP trước bản vá chính thức được phát hành sau khi lỗ hổng công bố | Kẻ tấn công khai thác các tham số host và port trong yêu cầu telnetSocket, gửi qua URI /WebInterface/function/, để thực hiện quét cổng nội bộ hoặc truy cập trái phép tài nguyên bên trong hệ thống mạng. | Đã vá |
17 | CVE-2025-32103 | 9,1 | Directory Traversal / Access Control Bypass | Endpoint /WebInterface/function/ trong CrushFTP server | Các phiên bản CrushFTP trước bản vá chính thức được phát hành sau khi lỗ hổng công bố | Kẻ tấn công gửi giá trị UNC path như \\server\resource vào tham số path, vượt qua kiểm soát thư mục và truy cập tệp/thư mục trái phép bất chấp cấu hình Security Manager. | Đã vá |
18 | CVE-2025-32445 | 10 | - Multi-Tenant Isolation Bypass - Privilege Escalation - Cluster Compromise | Argo Events Controller trong các cluster Kubernetes sử dụng Argo Events | Các phiên bản trước v1.9.6 | Kẻ tấn công không có quyền admin trong môi trường Kubernetes đa tenant có thể khai thác lỗ hổng để truy cập trái phép tài nguyên của tenant khác, vượt qua RBAC và PodSecurityPolicies, xâm nhập hệ thống chủ và phá vỡ mô hình cách ly bảo mật. | Đã vá |
19 | CVE-2025-30911 | 8,8 | - Remote Code Execution (RCE) - Privilege Escalation due to Missing Authorization & Nonce Validation | Plugin WordPress RomethemeKit For Elementor | Các phiên bản trước 1.5.5 | Lỗ hổng nằm trong hàm install_requirements() được gọi qua hook AJAX wp_ajax_install_requirements, không kiểm tra quyền truy cập và không xác thực nonce, cho phép bất kỳ người dùng đã đăng nhập (kể cả cấp thấp như subscriber) thực thi mã từ xa (RCE) thông qua yêu cầu tùy chỉnh. | Đã vá |
20 | CVE-2025-3509 | 8,0 | Remote Code Execution (RCE) Privilege Escalation | GitHub Enterprise Server – cơ chế hook xử lý push (pre-receive hooks) trong quá trình hot patching | - 3.13.0 → 3.13.13 - 3.14.0 → 3.14.10 - 3.15.0 → 3.15.5 - 3.16.0 → 3.16.1 | Kẻ tấn công có quyền admin hoặc chỉnh sửa pre-receive hooks có thể thực thi mã từ xa trong điều kiện hot patching | Đã vá |
21 | CVE-2024-53104 | 7,8 | - Out-of-Bounds Write - Local Privilege Escalation (LPE) - Remote Code Execution qua USB Physical Access | Trình điều khiển USB Video Class (UVC) trong Android Kernel | Tất cả thiết bị Android chạy kernel có chứa hàm uvc_parse_format() chưa được vá trước bản cập nhật bảo mật tháng 02/2025 | Lỗi nằm trong hàm uvc_parse_format() xử lý định dạng video không xác định (UVC_VS_UNDEFINED), dẫn đến ghi tràn bộ nhớ (out-of-bounds write). Kẻ tấn công chỉ cần truy cập vật lý vào cổng USB của thiết bị Android để gửi payload độc hại qua thiết bị video giả mạo, kích hoạt khai thác và leo thang đặc quyền hoặc thực thi mã tùy ý. | Đã vá |
22 | CVE-2025-21204 | 7,8 | - Local Privilege Escalation (LPE) - Symbolic Link (Junction) Abuse | - Windows Update Stack - Cụ thể là tiến trình liên quan đến cập nhật và thao tác với thư mục Task Scheduler | Các phiên bản Windows chưa được cập nhật bản vá tháng 2–3/2025 | Khai thác hoàn toàn sử dụng các công cụ gốc của Windows như PowerShell, giúp tránh bị phát hiện bởi Defender, AMSI hoặc WDAC. | Đã vá |
23 | CVE-2025-1763 | 8,7 | Stored XSS | Maven Dependency Proxy UI | Trước 17.11.1 / 17.10.5 / 17.9.7 | Kẻ tấn công chèn payload độc hại vào giao diện Maven Proxy, vượt qua CSP và thực thi mã JavaScript trên trình duyệt người dùng khác. | Đã vá |
24 | CVE-2025-2443 | 8,7 | Stored XSS | Maven Dependency Proxy | Trước 17.11.1 / 17.10.5 / 17.9.7 | Cơ chế xử lý input không an toàn cho phép thực thi script độc hại từ payload đã lưu trữ, bỏ qua chính sách CSP. | Đã vá |
25 | CVE-2025-34028 | 10 | - Remote Code Execution (RCE) - Authentication Bypass | Commvault Command Center (trên cả hệ điều hành Linux và Windows) | Từ phiên bản 11.38.0 đến 11.38.19 | Tin tặc có thể gửi các yêu cầu đặc biệt đến mô-đun Command Center mà không cần xác thực, từ đó thực thi mã tùy ý trên hệ thống, cho phép chiếm toàn bộ quyền điều khiển. Điều kiện khai thác là Command Center phải được phơi bày ra Internet hoặc mạng không kiểm soát chặt chẽ. | Đã vá |
26 | CVE-2024-54085 | 10 | - Remote Code Execution (RCE) - Unauthenticated Access to BMC - Firmware Compromise / Hardware-level Attack | MegaRAC Baseboard Management Controller (BMC) – nền tảng quản lý máy chủ từ xa do AMI phát triển, được sử dụng trong các máy chủ của HPE, ASUS, ASRock... | Nhiều phiên bản firmware MegaRAC | Kẻ tấn công có thể truy cập từ xa vào giao diện BMC mà không cần xác thực | Đã vá |
27 | CVE-2025-43859 | 9,1 | - HTTP Request Smuggling - Input Validation Error | Thư viện h11 (thư viện HTTP/1.1 thuần Python, thường được dùng với các framework như uvicorn, hypercorn, starlette, fastapi, v.v.) | Các phiên bản h11 trước 0.15.0 | Lỗi phát sinh do xử lý không chuẩn ký tự kết thúc dòng trong các HTTP request sử dụng chunked transfer encoding. | Đã vá |
28 | CVE-2025-21756 | 8,8 | - Use-After-Free (UAF) - Local Privilege Escalation (LPE) - Kernel Memory Corruption | Linux Kernel | Các phiên bản Linux Kernel có hỗ trợ vsock, đặc biệt trên hệ thống dùng QEMU/KVM, Docker, hoặc môi trường ảo hóa khác | Lỗi xảy ra khi đối tượng socket được giải phóng nhưng vẫn còn được sử dụng (UAF) | Chưa vá |
Trên đây là danh sách các lỗ hổng nghiêm trọng trong Tháng 4/2025 được WhiteHat tổng hợp và chọn lọc. Việc cập nhật kịp thời các bản vá là điều cần thiết để bảo vệ hệ thống và giảm thiểu rủi ro trước các mối đe dọa an ninh mạng.
WhiteHat