98/69 (IT) ประจำวันพุธที่ 18 กุมภาพันธ์ 2569
มีรายงานการพบช่องโหว่ด้านความมั่นคงปลอดภัยในระบบของ DavaIndia Pharmacy เครือร้านขายยารายใหญ่ของอินเดีย ดำเนินงานโดยบริษัท Zota Health Care Ltd. โดยช่องโหว่ดังกล่าวอาจทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลคำสั่งซื้อของลูกค้า และยกระดับสิทธิ์ควบคุมระบบในระดับผู้ดูแล (Full Administrative Control) ได้ ส่งผลกระทบต่อความปลอดภัยของข้อมูลส่วนบุคคล รวมถึงความถูกต้องของระบบควบคุมการจำหน่ายยา
นักวิจัยด้านความมั่นคงปลอดภัย Eaton Zveare เป็นผู้ค้นพบช่องโหว่นี้ โดยระหว่างการวิเคราะห์เว็บไซต์ซึ่งพัฒนาด้วย Next.js ได้พบ subdomain สำหรับผู้ดูแลระบบ (admin subdomain) ที่เปิดให้เข้าถึง API ระดับ super-admin โดยไม่ต้องผ่านการยืนยันตัวตน (Unauthenticated Access) เมื่อทดสอบเรียกใช้งาน endpoint ดังกล่าวผ่านเบราว์เซอร์ ระบบได้แสดงรายชื่อผู้ดูแลระดับสูงทั้งหมดโดยไม่มีการตรวจสอบสิทธิ์ จากนั้นนักวิจัยสามารถสร้างบัญชี super-admin ใหม่ผ่านคำสั่ง POST และเข้าควบคุมแพลตฟอร์มได้อย่างสมบูรณ์
ภายใต้สิทธิ์ดังกล่าว สามารถเข้าถึงและแก้ไขข้อมูลร้านสาขา ข้อมูลเภสัชกร รายละเอียดคำสั่งซื้อ ข้อมูลส่วนบุคคลของลูกค้า สินค้า สต็อก และคูปองส่วนลดได้ นอกจากนี้ยังสามารถสร้างคูปองส่วนลด 100% และอาจปิดการบังคับแนบใบสั่งยา (Prescription Requirement) ผ่านการปรับค่าในระบบ ซึ่งอาจนำไปสู่ความเสี่ยงด้านการควบคุมยาและความเป็นส่วนตัวของผู้ใช้บริการ ช่องโหว่นี้ถูกรายงานเมื่อวันที่ 20 สิงหาคม 2025 และได้รับการแก้ไขภายในหนึ่งเดือน โดยภายหลังได้รับการยืนยันการปิดประเด็นร่วมกับหน่วยงาน CERT-In เมื่อวันที่ 28 พฤศจิกายน 2025 ก่อนจะมีการเปิดเผยสู่สาธารณะเมื่อวันที่ 13 กุมภาพันธ์ 2026
