436/66 (IT) ประจำวันจันทร์ที่ 2 ตุลาคม 2566
US Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ระดับ critical ที่หมายเลข CVE-2018-14667 ( คะแนน CVSS 9.8 ) ที่ส่งผลต่อ Red Hat JBoss RichFaces Framework ลงใน Known Exploited Vulnerabilities Catalog ซึ่งปัญหาของช่องโหว่ดังกล่าวคือการ injection Expression Language (EL) ผ่าน UserResource resource ที่ส่งผลต่อ RichFaces Framework 3.X ถึง 3.3.4 ทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการรับรองความถูกต้องสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ execute arbitrary code ผ่าน org.ajax4jsf.resource.UserResource$UriData
ช่องโหว่ดังกล่าวได้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยจาก Joao Filho Matos Figueiredo และตามที่ Binding Operational Directive (BOD) 22-01: เพื่อลดความเสี่ยงของช่องโหว่ดังกล่าวหน่วยงาน FCEB จะต้องแก้ไขช่องโหว่ที่ระบุภายในวันที่กำหนด เพื่อป้องกันเครือข่ายถูกโจมตีจากการใช้ประโยชน์จากช่องโหว่ใน Catalog โดยที่ผู้เชี่ยวชาญยังแนะนำให้องค์กรเอกชนตรวจสอบใน Catalog และแก้ไขช่องโหว่อีกด้วย ซึ่งทาง CISA ได้สั่งให้หน่วยงานรัฐบาลกลางแก้ไขช่องโหว่นี้ภายในวันที่ 19 ตุลาคม 2023
