264/69 (IT) ประจำวันศุกร์ที่ 15 พฤษภาคม 2569
F5 ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่มากกว่า 50 รายการ ในผลิตภัณฑ์ BIG-IP, BIG-IQ, NGINX โดยมีช่องโหว่ระดับ High 19 รายการ และระดับ Medium 32 รายการ ช่องโหว่หลายรายการอาจถูกใช้เพื่อยกระดับสิทธิ์ รันคำสั่ง หรือทำให้ระบบหยุดให้บริการ (DoS) ได้ หากองค์กรยังไม่ได้อัปเดตแพตช์
ช่องโหว่ที่มีคะแนนรุนแรงสูงสุดคือ CVE-2026-42945 ในโมดูล ngx_http_rewrite_module ของ NGINX ซึ่งอาจเปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษ และภายใต้เงื่อนไขบางอย่างอาจทำให้เกิด heap buffer overflow จนบริการรีสตาร์ตหรือเกิดภาวะ DoS ได้ และหากระบบปิดใช้งาน ASLR ช่องโหว่นี้อาจถูกใช้เพื่อรันโค้ดได้
นอกจากนี้ F5 ยังแก้ไขช่องโหว่สำคัญอื่น เช่น CVE-2026-41225 ใน iControl REST ที่อาจเปิดทางให้ผู้โจมตีที่ผ่านการยืนยันตัวตนและมีสิทธิ์อย่างน้อยระดับ Manager สร้าง configuration objects จนนำไปสู่การรันคำสั่งได้ รวมถึงช่องโหว่ RCE และ command injection ระดับสูงใน BIG-IP ได้แก่ CVE-2026-41957, CVE-2026-34176 และ CVE-2026-39459 ซึ่งต้องอาศัยการยืนยันตัวตนก่อน ทั้งนี้ ยังไม่มีรายงานว่าช่องโหว่เหล่านี้ถูกนำไปใช้โจมตีจริงในขณะนี้
แหล่งข่าว https://www.securityweek.com/f5-patches-over-50-vulnerabilities/