300/68 (IT) ประจำวันพุธที่ 20 สิงหาคม 2568
Xerox ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ความรุนแรงสูงจำนวน 2 รายการ ได้แก่ CVE-2025-8355 (XXE Injection) และ CVE-2025-8356 (Path Traversal) บนแพลตฟอร์ม FreeFlow Core ที่ใช้สำหรับ Print Automation และ Workflow Management โดยช่องโหว่ทั้งสองเปิดโอกาสให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถรันโค้ดจากระยะไกล (Remote Code Execution) ได้
ทีมนักวิจัยจาก Horizon3 เป็นผู้ค้นพบช่องโหว่ โดยระบุว่าช่องโหว่ CVE-2025-8355 อยู่ใน JMF Client Service ของ FreeFlow Core ซึ่งตรวจสอบ XML ไม่เพียงพอ ทำให้ผู้โจมตีสามารถทำ Server-Side Request Forgery (SSRF) ได้ ขณะที่ CVE-2025-8356 เป็นช่องโหว่ Path Traversal ในกระบวนการจัดการไฟล์ ทำให้ผู้โจมตีสามารถวาง Webshell ในตำแหน่งที่เข้าถึงได้จากภายนอก และเมื่อใช้ร่วมกับคำสั่ง JMF อาจนำไปสู่การรัน Payload อันตรายบนระบบที่ได้รับผลกระทบ
Xerox ได้แก้ไขช่องโหว่ทั้งสองแล้วใน FreeFlow Core เวอร์ชัน 8.0.5 และแนะนำให้ผู้ใช้งานเร่งอัปเดตโดยทันที เนื่องจากแพลตฟอร์มดังกล่าวมักถูกใช้งานในองค์กรที่มีข้อมูลด้านการตลาด เป็นข้อมูลสำคัญที่อาจตกเป็นเป้าหมายของผู้ไม่หวังดี
