Mozilla, Google, Adobe, dan Broadcom merilis pembaruan keamanan yang memperbaiki puluhan kerentanan kritis minggu ini, termasuk dua zero-day di Firefox yang kode eksploitasinya sudah dipublikasikan publik, delapan kerentanan kritis di Adobe ColdFusion dengan skor CVSS 9 ke atas, serta authentication bypass kritis di VMware Avi Load Balancer. Gelombang patch ini menjadi salah satu yang terbesar dalam beberapa bulan terakhir.
APA YANG TERJADI?
Mozilla merilis pembaruan untuk menangani dua kerentanan kritis di Firefox yang telah memiliki kode eksploitasi yang dipublikasikan publik. CVE-2026-15718 adalah invalid pointer di komponen JavaScript: WebAssembly, dan CVE-2026-15719 adalah site isolation issue di komponen DOM: Navigation. Kedua kerentanan ini telah diperbaiki di Firefox versi 152.0.6. Meskipun Mozilla menyatakan belum ada eksploitasi di lapangan, publikasi kode eksploitasi membuat patch ini menjadi sangat mendesak.
Di sisi lain, Google mengirimkan perbaikan untuk 15 kerentanan di Chrome, termasuk dua use-after-free bugs kritis di komponen Ozone (CVE-2026-15764 dan CVE-2026-15765). Kerentanan ini memungkinkan penyerang remote meyakinkan pengguna untuk melakukan gestur UI tertentu, yang kemudian dapat dieksploitasi untuk melakukan heap corruption melalui halaman HTML yang dibuat khusus. Perbaikan telah diterapkan di Chrome versi 150.0.7871.124/.125 untuk Windows dan Mac, serta 150.0.7871.124 untuk Linux.
DETAIL TEKNIS
Adobe menerbitkan pembaruan keamanan untuk 88 kerentanan, termasuk beberapa bug berkeparahan kritis di ColdFusion, Commerce, Experience Manager, dan Illustrator. Delapan kerentanan mempengaruhi Adobe ColdFusion secara langsung:
CVE-2026-48318 (CVSS 9.9) — path traversal yang mengarah ke arbitrary code execution. CVE-2026-48322 (CVSS 9.6) — code injection yang mengarah ke arbitrary code execution. CVE-2026-48284 (CVSS 9.6) — improper input validation yang mengarah ke arbitrary code execution. CVE-2026-48321 (CVSS 9.3) — incorrect authorization yang mengarah ke privilege escalation. CVE-2026-48325 (CVSS 9.3) — missing authentication untuk fungsi kritis yang mengarah ke arbitrary code execution. CVE-2026-48319 (CVSS 9.1) — path traversal yang mengarah ke arbitrary code execution. CVE-2026-48324 (CVSS 9.1) — SQL injection yang mengarah ke arbitrary code execution. CVE-2026-48327 (CVSS 9.0) — incorrect authorization yang mengarah ke arbitrary code execution.
Selain ColdFusion, dua kerentanan kritis ditemukan di Adobe Commerce dan Magento Open Source — CVE-2026-48356 (CVSS 9.6) berupa file upload yang mengarah ke privilege escalation, dan CVE-2026-48358 (CVSS 9.1) berupa improper encoding yang mengarah ke arbitrary code execution. Adobe Experience Manager juga terdampak: CVE-2026-48259 (CVSS 9.6) SSRF yang mengarah ke arbitrary code execution, dan CVE-2026-48359 (CVSS 9.6) improper restriction of XML external entity yang mengarah ke arbitrary code execution. Broadcom juga memperbaiki CVE-2026-47865 (CVSS 9.8) di VMware Avi Load Balancer — authentication bypass yang dapat dieksploitasi oleh penyerang dengan akses jaringan untuk mengakses Avi Control plane. Kerentanan ini ditemukan oleh Filip Waeytens dari NATO Cyber Security Centre (NCSC).
DAMPAK TERHADAP INDONESIA
Adobe ColdFusion masih digunakan secara luas di instansi pemerintah Indonesia dan beberapa BUMN sebagai bagian dari infrastruktur web legacy mereka. Kerentanan kritis dengan skor CVSS 9.0 ke atas di ColdFusion sangat berbahaya karena memungkinkan arbitrary code execution tanpa autentikasi pada beberapa CVE. Organisasi yang belum memperbarui ColdFusion ke versi 2025 Update 11 atau 2023 Update 22 berada dalam risiko serius. BSSN perlu segera menerbitkan advisori teknis kepada instansi pemerintah yang masih menjalankan ColdFusion.
Di sektor perbankan dan e-commerce Indonesia, Adobe Commerce dan Magento Open Source merupakan platform yang sangat populer. Kerentanan file upload (CVE-2026-48356) dan code execution (CVE-2026-48358) dapat dimanfaatkan untuk mencuri data pelanggan, memanipulasi transaksi, atau menginstal backdoor pada portal e-commerce. Sementara itu, penggunaan Firefox dan Chrome yang massif di Indonesia — terutama di kalangan pelajar dan profesional TI — menjadikan zero-day yang kode eksploitasinya sudah beredar publik sebagai ancaman langsung bagi jutaan pengguna. VMware Avi Load Balancer yang digunakan di data center Indonesia juga terancam oleh authentication bypass yang ditemukan oleh NATO NCSC.
REKOMENDASI MITIGASI
Segera perbarui Firefox ke versi 152.0.6 dan Chrome ke versi 150.0.7871.124 atau yang lebih baru. Untuk Adobe ColdFusion, terapkan pembaruan ke ColdFusion 2025 Update 11 atau ColdFusion 2023 Update 22. Periksa apakah organisasi menggunakan Adobe Commerce, Magento, atau Experience Manager, dan terapkan patch sesuai advisory resmi Adobe. Untuk VMware Avi Load Balancer, pastikan versi yang digunakan telah diperbarui dan isolasikan Avi Control plane dari jaringan yang tidak terpercaya. Implementasikan pemantauan menggunakan SIEM untuk mendeteksi aktivitas mencurigakan terhadap produk-produk yang terdampak.
Analisa Retasan
Gelombang patch minggu ini menunjukkan tren yang mengkhawatirkan dalam lanskap keamanan aplikasi. Fakta bahwa kode eksploitasi untuk dua zero-day Firefox telah dipublikasikan publik — sementara eksploitasi di lapangan belum terdeteksi — menciptakan race condition kritis antara penyerang dan defender. Penyerang yang sudah memiliki exploit chain siap pakai dapat memanfaatkan jendela waktu antara publikasi kode eksploitasi dan penerapan patch oleh pengguna. Pola ini mengingatkan pada insiden CVE-2023-44487 (HTTP/2 Rapid Reset) di mana exploit publik memicu wave serangan massal sebelum banyak organisasi sempat menerapkan perbaikan.
Delapan kerentanan kritis di ColdFusion dengan skor CVSS 9.0 ke atas merupakan jumlah yang luar biasa untuk satu produk. CVE-2026-48318 (path traversal, CVSS 9.9) dan CVE-2026-48325 (missing authentication, CVSS 9.3) sangat signifikan karena memungkinkan penyerang tanpa autentikasi untuk mencapai arbitrary code execution — sebuah kombinasi yang secara efektif mengubah server ColdFusion menjadi titik pivot untuk serangan lateral. Kerentanan ini sangat berharga bagi pelaku APT karena ColdFusion sering kali berjalan dengan hak akses tinggi di lingkungan enterprise. Fakta bahwa NATO NCSC yang menemukan kerentanan VMware Avi Load Balancer juga menunjukkan bahwa produk infrastruktur kritis yang digunakan di data center tetap menjadi target riset aktif.
Dari perspektif Indonesia, kerentanan Adobe Commerce dan Magento layak mendapat perhatian khusus. Ekosistem e-commerce Indonesia yang tumbuh pesat dengan GMV ratusan triliun rupiah berjalan di atas platform-platform ini. Tokopedia, Bukalapap, dan ribuan merchant Indonesia menggunakan Magento untuk operasi mereka. Kerentanan file upload di CVE-2026-48356 sangat berbahaya karena memungkinkan penyerang mengunggah webshell atau file berbahaya lainnya ke server web. Organisasi e-commerce Indonesia harus memprioritaskan patch ini dan melakukan audit log untuk mendeteksi aktivitas upload mencurigakan yang mungkin telah terjadi sebelum patch diterapkan. BSSN dan Kementerian Kominfo harus memastikan advisori ini menjangkau seluruh instansi pemerintah yang menggunakan produk-produk Adobe dan VMware.
Sumber: The Hacker News — Firefox, Chrome, Adobe, and VMware Updates Fix Multiple Critical Security Flaws