62/69 (IT) ประจำวันจันทร์ที่ 2 กุมภาพันธ์ 2569
SmarterTools ได้เผยแพร่อัปเดตด้านความมั่นคงปลอดภัยเพื่อแก้ไขช่องโหว่ในซอฟต์แวร์อีเมล SmarterMail จำนวน 2 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ระดับร้ายแรง ที่หมายเลข CVE-2026-24423 มีคะแนน CVSS 9.3 ซึ่งอาจทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายบนระบบที่ได้รับผลกระทบได้ โดยช่องโหว่นี้เกิดจากการทำงานของ ConnectToHub API method ใน SmarterMail เวอร์ชันก่อน Build 9511 ที่อนุญาตให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถชี้ให้ระบบเชื่อมต่อไปยังเซิร์ฟเวอร์ HTTP ที่เป็นอันตราย และสั่งให้ระบบรันคำสั่งของระบบปฏิบัติการที่ถูกฝังไว้ได้โดยตรง
ช่องโหว่ดังกล่าวถูกรายงานโดยนักวิจัยด้านความมั่นคงปลอดภัยจากหลายองค์กร ได้แก่ Sina Kheirkhah และ Piotr Bazydlo จาก watchTowr, Markus Wulftange จาก CODE WHITE GmbH และ Cale Black จาก VulnCheck โดย SmarterTools ได้แก้ไขปัญหานี้แล้วใน SmarterMail เวอร์ชัน Build 9511 และแนะนำให้ผู้ใช้งานอัปเดตระบบโดยเร็วเพื่อป้องกันความเสี่ยง
นอกจากนี้ SmarterTools ยังได้แก้ไขช่องโหว่อีกหนึ่งรายการที่มีความรุนแรงสูง ที่หมายเลข CVE-2026-23760 มีคะแนนCVSS 9.3 ซึ่งขณะนี้มีรายงานว่าถูกนำไปใช้โจมตีแล้ว ช่องโหว่นี้เป็นปัญหาการข้ามกระบวนการยืนยันตัวตน (Authentication Bypass) ใน API สำหรับรีเซ็ตรหัสผ่าน ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถรีเซ็ตรหัสผ่านของบัญชีผู้ดูแลระบบได้ ส่งผลให้สามารถเข้าควบคุมระบบ SmarterMail ได้ทั้งหมด ขณะที่ CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ CVE-2026-23760 ไว้ในบัญชี Known Exploited Vulnerabilities (KEV) และสั่งการให้หน่วยงานภาครัฐที่เกี่ยวข้องเร่งแก้ไขภายในวันที่ 16 กุมภาพันธ์ 2026 เพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว
