105/69 (IT) ประจำวันศุกร์ที่ 20 กุมภาพันธ์ 2569
นักวิจัยจากบริษัท Novee เปิดเผยการค้นพบช่องโหว่ด้านความมั่นคงปลอดภัยรวม 16 รายการ ในแพลตฟอร์มจัดการเอกสาร PDF ได้แก่ Apryse WebViewer และบริการ Foxit PDF Cloud โดยอาศัยเทคโนโลยี AI agents ช่วยในการวิเคราะห์ ช่องโหว่ดังกล่าวมีความรุนแรงตั้งแต่ระดับ ปานกลางถึงระดับวิกฤต อาจถูกนำไปใช้เพื่อยึดครองบัญชีผู้ใช้ (Account Takeover) ลักลอบขโมยข้อมูลสำคัญ (Data Exfiltration) และเข้าควบคุมระบบจากระยะไกล
ช่องโหว่ที่ตรวจพบมีหลายประเภท เช่น DOM XSS, SSRF, Path Traversal และ OS Command Injection โดยผู้โจมตีสามารถส่งเอกสาร PDF หรือ URL ที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดหรือคำสั่งอันตรายเพื่อเข้าถึงข้อมูล นักวิจัยชี้ว่าหากองค์กรฝังตัวอ่าน PDF ไว้ในแอปพลิเคชันที่ต้องยืนยันตัวตน ผู้โจมตีอาจใช้ช่องโหว่ XSS เพื่อขโมยสิทธิ์การใช้งานบัญชี หรือใช้เพย์โหลด (Payload) ที่มีความสามารถในการฝังตัวต่อเนื่องแม้จะมีการรีเฟรชหน้าเว็บ เพื่อสอดแนมหรือเข้าถึงข้อมูลในเอกสารที่มีความละเอียดอ่อนอย่างต่อเนื่อง
Foxit และ Apryse ได้ดำเนินการออกแพตช์เพื่อแก้ไขช่องโหว่แล้ว พร้อมปรับปรุงการตั้งค่าเริ่มต้น (Default Configurations) และเอกสารคำแนะนำให้รัดกุมยิ่งขึ้น โดยผู้พัฒนาให้ความสำคัญกับกระบวนการเปิดเผยช่องโหว่อย่างมีจริยธรรม (Responsible Disclosure) นักวิจัยย้ำว่าส่วนประกอบที่หลายองค์กรมักประเมินว่ามีความเสี่ยงต่ำ เช่น ระบบจัดการเอกสาร อาจกลายเป็นช่องทางการโจมตีที่ส่งผลกระทบร้ายแรงหากขาดการตรวจสอบและปรับปรุงความปลอดภัยอย่างต่อเนื่อง
