202/68 (IT) ประจำวันพฤหัสบดีที่ 5 มิถุนายน 2568
Hewlett Packard Enterprise (HPE) ออกประกาศแจ้งเตือนช่องโหว่ 8 รายการใน HPE StoreOnce ซึ่งเป็นโซลูชันสำรองและลดขนาดข้อมูลแบบใช้ดิสก์ที่นิยมใช้ในระดับองค์กร โดยช่องโหว่ที่รุนแรงที่สุดคือ CVE-2025-37093 (CVSS 9.8) ซึ่งเป็นช่องโหว่ Authentication Bypass ที่เกิดจากการทำงานผิดพลาดในฟังก์ชัน machineAccountCheck ส่งผลให้ผู้โจมตีสามารถข้ามขั้นตอนการยืนยันตัวตน และเข้าถึงช่องโหว่อื่น ๆ ได้โดยไม่ต้องล็อกอิน เช่น ช่องโหว่ลบไฟล์หรือดึงข้อมูล (CVE-2025-37094 และ CVE-2025-37095) ช่องโหว่เหล่านี้มีผลกระทบต่อ StoreOnce ก่อนเวอร์ชัน 4.3.11 โดย HPE แนะนำให้อัปเดตโดยด่วนในเวอร์ชันล่าสุด 4.3.11 เนื่องจากยังไม่มีแนวทางการแก้ไขชั่วคราว (mitigation/workaround) อย่างเป็นทางการ
รายการช่องโหว่ทั้งหมดในเวอร์ชันนี้ได้แก่:
– CVE-2025-37089 – Remote Code Execution
– CVE-2025-37090 – Server-Side Request Forgery
– CVE-2025-37091 – Remote Code Execution
– CVE-2025-37092 – Remote Code Execution
– CVE-2025-37093 – Authentication Bypass (Critical)
– CVE-2025-37094 – Directory Traversal (ลบไฟล์อันตราย)
– CVE-2025-37095 – Directory Traversal (เปิดเผยข้อมูลสำคัญ)
– CVE-2025-37096 – Remote Code Execution
ช่องโหว่ทั้งหมดถูกค้นพบโดย Zero Day Initiative (ZDI) ตั้งแต่เดือนตุลาคม 2024 แต่เพิ่งมีแพตช์ออกมาในช่วงกลางปี 2025 โดยแม้ยังไม่มีรายงานการโจมตีจริง แต่เนื่องจาก StoreOnce ถูกใช้ในศูนย์ข้อมูลขนาดใหญ่และระบบสำรองข้อมูลขององค์กรจำนวนมาก ผู้ดูแลระบบควรอัปเดตทันทีเพื่อป้องกันความเสี่ย
