451/68 (IT) ประจำวันศุกร์ที่ 7 พฤศจิกายน 2568
สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ในผลิตภัณฑ์ Gladinet CentreStack / Triofox และ CWP Control Web Panel ลงในรายการ Known Exploited Vulnerabilities (KEV) Catalog โดยผลิตภัณฑ์ CentreStack และ Triofox เป็นโซลูชันสำหรับองค์กรด้าน Enterprise File Sharing และ Hybrid Cloud Storage ช่วยให้เข้าถึง File Server และ SMB/NFS แบบปลอดภัย รองรับการทำงานระยะไกลโดยไม่ต้องย้ายข้อมูลออกจากระบบองค์กร ขณะที่ช่องโหว่ใน CWP Control Web Panel ส่งผลต่อเซิร์ฟเวอร์ที่ใช้ระบบ CentOS เวอร์ชันที่ได้รับผลกระทบ
รายละเอียดของช่องโหว่ที่ถูกเพิ่มเข้ามาใน KEV ได้แก่:
– CVE-2025-11371 (CVSS 7.5) – Local File Inclusion (LFI) ใน Gladinet CentreStack และ Triofox สามารถทำให้ผู้ใช้ภายในระบบสามารถเข้าถึงไฟล์ระบบได้โดยไม่ต้องยืนยันตัวตน ซึ่งช่องโหว่นี้ถูกจัดเป็น Zero-day และมีรายงานว่าถูกโจมตีแล้ว โดยบริษัท Huntress ระบุว่าพบลูกค้าอย่างน้อย 3 รายถูกโจมตี พร้อมแนะนำวิธีปิดการทำงานของ temp handler ในไฟล์ UploadDownloadProxy/Web.config เป็นการแก้ไขชั่วคราว
– CVE-2025-48703 (CVSS 9.0) – OS Command Injection ใน CWP Control Web Panel อนุญาตให้ผู้โจมตีรันคำสั่งบนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน หากทราบชื่อบัญชีผู้ใช้บนระบบ ช่องโหว่นี้ถูกเปิดเผยโดยนักวิจัย Maxime Rinaudo และได้รับการแพตช์แล้วในเวอร์ชัน 0.9.8.1205
CISA กำหนดให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องแก้ไขช่องโหว่ทั้งสองรายการ ภายในวันที่ 25 พฤศจิกายน 2025 และแนะนำให้ภาคเอกชนตรวจสอบและอัปเดตระบบของตนโดยเร็ว เนื่องจากเป็นช่องโหว่ที่ถูกใช้โจมตีแล้ว (actively exploited) และเสี่ยงต่อการเข้าถึงข้อมูลหรือรันคำสั่งบนระบบเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต
