Microsoft
Microsoft đã phát hành bản vá Patch Tuesday tháng 3/2026 để giải quyết 69 lỗ hổng bảo mật (3 lỗi nghiêm trọng), bao gồm 02 lỗ hổng zero-day đã được công bố.
Theo đó, bản vá Patch Tuesday tháng 3 khắc phục 38 lỗ hổng leo thang đặc quyền; 17 lỗ hổng thực thi mã từ xa; 5 lỗ hổng tiết lộ thông tin; 4 lỗ hổng từ chối dịch vụ (DoS); 02 lỗ hổng vượt qua tính năng bảo mật (bypass); 3 lỗ hổng giả mạo (Spoofing). Số lượng này không bao gồm 9 lỗ hổng của Microsoft Edge, cùng với các lỗ hổng trên Mariner, Payment Orchestrator Service, Azure và Microsoft Devices Pricing Program đã được khắc phục sớm vào đầu tháng này.
Về hai lỗ hổng zero-day được vá, đầu tiên là CVE-2026-21262 - một lỗ hổng leo thang đặc quyền trong SQL Server, cho phép cấp quyền SQLAdmin. Microsoft giải thích: “Việc kiểm soát quyền truy cập không chặt chẽ trong SQL Server cho phép kẻ tấn công được ủy quyền nâng cao đặc quyền trên mạng”. Lỗ hổng zero-day thứ hai là CVE-2026-26127, liên quan đến lỗi đọc ngoài phạm vi trong .NET và cho phép kẻ tấn công trái phép gây ra tình trạng DoS.
Bên cạnh đó, Microsoft cũng đã giải quyết hai lỗi thực thi mã từ xa trong Office bao gồm CVE-2026-26110 và CVE-2026-26113, có thể bị khai thác thông qua cơ chế preview pane, có nghĩa là việc xem trước tệp độc hại cũng có thể kích hoạt khai thác. Do đó, người dùng nên ưu tiên cập nhật ứng dụng.
Adobe
Cũng trong tháng 3, Adobe đã công bố các bản vá cho 80 lỗ hổng bảo mật trên 8 sản phẩm của hãng. Trong đó, 19 lỗ hổng được khắc phục trên Adobe Commerce và Magento Open Source, đồng thời hãng kêu gọi người dùng áp dụng các bản vá trong vòng 30 ngày tới, vì đây là những sản phẩm được biết đến là mục tiêu của các tác nhân đe dọa.
Bản cập nhật này cũng giải quyết 6 lỗ hổng nghiêm trọng, trong đó 5 lỗ hổng có thể dẫn đến leo thang đặc quyền, bao gồm: CVE-2026-21290, CVE-2026-21361, CVE-2026-21284, CVE-2026-21311 và CVE-2026-21309. Lỗ hổng thứ sáu được theo dõi là CVE-2026-21289 - một lỗi liên quan đến vượt qua các tính năng bảo mật.
Theo thông báo của Adobe, các lỗ hổng còn lại là các vấn đề có mức độ nghiêm trọng trung bình và thấp, dẫn đến việc thực thi mã tùy ý, leo thang đặc quyền, vượt qua các tính năng bảo mật và tấn công DoS. Các bản vá cho những sự cố này đã được phát hành cho các phiên bản Adobe Commerce từ 2.4.4 đến 2.4.9, Adobe Commerce B2B từ 1.3.3 đến 1.5.3 và Magento Open Source từ 2.4.5 đến 2.4.9.
Ngoài ra, Adobe đã vá 7 lỗ hổng trong Illustrator, bao gồm 5 lỗ hổng có thể dẫn đến thực thi mã tùy ý, cụ thể: CVE-2026-21333, CVE-2026-21362, CVE-2026-27271, CVE-2026-27272 và CVE-2026-27267. Mặt khác, các lỗ hổng bảo mật nghiêm trọng dẫn đến việc thực thi mã tùy ý cũng đã được khắc phục trong Acrobat Reader, Premiere Pro, Substance 3D Stager và Bộ công cụ phát triển phần mềm DNG (SDK).
SAP
Ở một động thái khác, SAP thông báo khắc phục 15 lỗ hổng bảo mật trong bản vá Patch Tuesday tháng 3. Đáng chú ý nhất, hãng đã vá các lỗ hổng nghiêm trọng tồn tại trong phần Quotation Management Insurance (FS-QUO) và NetWeaver Enterprise Portal Administration.
SAP mô tả lỗ hổng FS-QUO, được theo dõi với mã định danh CVE-2019-17571 (điểm CVSS: 9.8), là một vấn đề liên quan đến việc chèn mã. Lần đầu tiên được tiết lộ vào tháng 12/2019, đây là một lỗi trong quá trình giải mã dữ liệu không đáng tin cậy của Apache Log4j, có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý trong một số điều kiện nhất định. Lỗi nghiêm trọng thứ hai là CVE-2026-27685 (điểm CVSS: 9.1), cũng là một vấn đề khác liên quan đến việc giải mã dữ liệu không đáng tin cậy, có thể dẫn đến thực thi mã, tấn công DoS hoặc leo thang đặc quyền.
SAP cũng đã vá lỗ hổng CVE-2026-27689 (điểm CVSS: 7.7), một lỗi dẫn đến tấn công DoS nghiêm trọng trong Supply Chain Management. Lỗ hổng này cho phép kẻ tấn công liên tục gọi một hàm không xác định với tham số điều khiển vòng lặp cực lớn, cuối cùng làm cạn kiệt tài nguyên hệ thống thông qua việc thực thi liên tục. Các bản vá còn lại của SAP khắc phục các vấn đề có mức độ trung bình trong NetWeaver, Business One, Business Warehouse, S/4HANA, Customer Checkout 2.0, GUI for Windows và Solution Tools Plug-In.
SAP không đề cập đến việc bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế, nhưng người dùng được khuyến nghị nên cập nhật hệ thống của mình càng sớm càng tốt để bảo vệ trước các mối đe dọa tiềm tàng.
Ivanti
Trong tháng 3, Ivanti đã phát hành bản cập nhật bảo mật nhằm khắc phục lỗ hổng nghiêm trọng CVE-2026-3483, ảnh hưởng đến Desktop and Server Management (DSM) phiên bản 2026.1.1 trở về trước. Theo hãng, kẻ tấn công khai thác thành công có thể nâng cao đặc quyền của chúng, đồng thời nhấn mạnh chưa rõ liệu lỗ hổng này đã bị khai thác trên thực tế hay chưa.