ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์เกี่ยวกับช่องโหว่ประเภท Path Traversal ในไลบรารี PyMuPDF (ไลบรารีสำหรับอ่าน วิเคราะห์ และจัดการเอกสาร PDF ด้วยภาษา Python) ที่อาจถูกผู้ไม่หวังดีใช้ในการเขียนไฟล์ไปยังตำแหน่งที่ไม่ได้รับอนุญาตบนระบบ (Arbitrary File Write) ผ่านไฟล์ PDF ที่ถูกสร้างขึ้นเป็นพิเศษ และอาจนำไปสู่การฝังไฟล์อันตราย เช่น Web Shell หรือการยกระดับในการเข้าควบคุมระบบได้
1. รายละเอียดของช่องโหว่
ช่องโหว่เกิดขึ้นในฟังก์ชัน embedded_get โดยโปรแกรมนำค่า Metadata ของไฟล์ที่ฝังอยู่ภายใน PDF (ที่สามารถปลอมแปลงได้) มาใช้เป็นชื่อไฟล์และตำแหน่งปลายทางของไฟล์โดยตรง พฤติกรรมดังกล่าวทำให้ผู้โจมตีสามารถแทรกลำดับเส้นทางในลักษณะ ../../ เพื่อบังคับให้เขียนไฟล์ออกนอกไดเรกทอรีที่กำหนดไว้ ที่อาจนำไปสู่การวางไฟล์อันตราย หรือไฟล์ที่ใช้ในการโจมตีภายในระบบได้
2. เวอร์ชันที่ได้รับผลกระทบ
• เวอร์ชันที่ได้รับผลกระทบ: PyMuPDF 1.26.5
3. แนวทางการป้องกันและลดความเสี่ยง
3.1 อัปเดต PyMuPDF เป็นเวอร์ชัน 1.26.7 หรือใหม่กว่า
3.2 กรณีมีการใช้งานคำสั่งแตกไฟล์ที่ฝังอยู่ใน PDF (เช่น pymupdf embed-extract) ให้ตรวจสอบพฤติกรรมการเขียนไฟล์และเส้นทางปลายทางอย่างรอบคอบ
3.3 หลีกเลี่ยงการแตกไฟล์จากเอกสาร PDF ที่ไม่ทราบแหล่งที่มาหรือไม่น่าเชื่อถือ
3.4 กำหนดตำแหน่งจัดเก็บไฟล์ให้ชัดเจน โดยควรระบุปลายทางด้วยตนเอง (เช่น ใช้ตัวเลือก -output) เพื่อลดความเสี่ยงจากการอ้างอิงเส้นทางที่มาจาก Metadata โดยอัตโนมัติ
3.5 หลีกเลี่ยงการใช้ตัวเลือกที่มีความเสี่ยง -unsafe เว้นแต่มีความจำเป็น และต้องมีมาตรการควบคุมความเสี่ยงรองรับ
4. แนวทางการเฝ้าระวังและตรวจสอบความผิดปกติ
4.1 ตรวจสอบความผิดปกติภายในระบบอย่างสม่ำเสมอ เช่น การปรากฏของไฟล์ต้องสงสัย หรือไฟล์ลักษณะ Web Shell ในตำแหน่งที่ไม่ควรมีการสร้างไฟล์
4.2 เฝ้าระวังการเชื่อมต่อเครือข่ายที่ผิดปกติ โดยเฉพาะการติดต่อไปยังหมายเลข IP หรือโดเมนที่ไม่ทราบแหล่งที่มา หรือไม่เกี่ยวข้องกับภารกิจของหน่วยงาน
“ThaiCERT เตือน! ผู้ใช้งาน PyMuPDF เวอร์ชัน 1.26.5 รีบอัปเดตเป็น 1.26.7 ทันที เพื่อปิดช่องโหว่ Path Traversal”
อ้างอิง
