ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ดูแลระบบเว็บไซต์ที่ใช้แพลตฟอร์ม Joomla และ Widget Factory Joomla Content Editor (JCE) ถึงช่องโหว่ความปลอดภัยระดับวิกฤต ซึ่งปัจจุบันพบการใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีจริงแล้ว โดยผู้ไม่หวังดีอาจใช้ช่องโหว่นี้เพื่อสั่งรันโค้ด PHP โดยไม่ได้รับอนุญาตผ่านการอัปโหลดไฟล์และสร้างโปรไฟล์ Editor ใหม่โดยไม่ต้องผ่านการยืนยันตัวตน
1. รายละเอียดภัยคุกคาม [1]
ช่องโหว่นี้เกิดขึ้นในปลั๊กอินหรือส่วนขยาย Joomla Content Editor (JCE) ซึ่งเป็นเครื่องมือสำหรับสร้างและแก้ไขเนื้อหาบนเว็บไซต์ Joomla โดยมีสาเหตุมาจากการควบคุมสิทธิ์การเข้าถึงที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถสร้างโปรไฟล์ Editor ใหม่และอัปโหลดไฟล์ PHP ที่เป็นอันตรายเข้าสู่ระบบได้ นำไปสู่การสั่งรันโค้ดบนเซิร์ฟเวอร์ และอาจถูกใช้เพื่อติดตั้ง Web Shell ขโมยข้อมูล หรือเข้าควบคุมเว็บไซต์ได้ โดยรายละเอียดช่องโหว่มีดังนี้
– CVE-2026-48907 (CVSS v3.1 9.8 ) [2] จัดอยู่ในประเภท Improper Access Control (CWE-284) ซึ่งส่งผลให้ระบบไม่สามารถตรวจสอบสิทธิ์การเข้าถึงทรัพยากรได้อย่างถูกต้อง ผู้โจมตีสามารถสร้างโปรไฟล์ Editor สำหรับผู้ใช้ที่ยังไม่ได้รับการยืนยันตัวตน และใช้สิทธิ์ดังกล่าวในการอัปโหลดไฟล์ PHP เพื่อสั่งรันโค้ดบนเซิร์ฟเวอร์ได้ ช่องโหว่นี้ส่งผลกระทบต่อส่วนขยาย Joomla Content Editor (JCE) ทุกเวอร์ชันก่อน 2.9.99.5 จึงควรดำเนินการอัปเดตเป็นเวอร์ชันที่ได้รับการแก้ไขโดยเร็วที่สุดเพื่อลดความเสี่ยงจากการถูกโจมตีดังกล่าว
2. ระบบที่อาจได้รับผลกระทบ
2.1 ปลั๊กอินหรือส่วนขยาย Factory Joomla Content Editor (JCE) ทุกเวอร์ชันก่อน 2.9.99.5
2.2 เว็บไซต์ที่ใช้งาน Joomla และติดตั้งส่วนขยาย Joomla Content Editor (JCE)
2.3 เว็บไซต์ที่เปิดให้เข้าถึงส่วนจัดการ JCE จากเครือข่ายสาธารณะ และยังไม่ได้อัปเดตแพตช์
3. ผลกระทบที่อาจเกิดขึ้น
หากผู้โจมตีสามารถเข้าถึงและใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จ จะสามารถอัปโหลดไฟล์ PHP ที่เป็นอันตราย (Web Shell) ขึ้นไปยังเซิร์ฟเวอร์และสั่งรันโค้ดนั้นได้ทันที โดยไม่ต้องมีการยืนยันตัวตน ซึ่งจะทำให้ผู้โจมตีมีสิทธิ์ในการอ่าน เขียน แก้ไข หรือลบไฟล์ในระบบได้อย่างไม่จำกัด นอกจากนี้ยังอาจนำไปสู่การขโมยข้อมูลสำคัญ การติดตั้งมัลแวร์เพิ่มเติม หรือการควบคุมระบบเว็บไซต์ทั้งหมดเพื่อวัตถุประสงค์ในทางมิชอบ
4. แนวทางการตรวจสอบและป้องกัน [3]
4.1 ตรวจสอบเวอร์ชันของปลั๊กอินหรือส่วนขยาย Joomla Content Editor (JCE) ที่กำลังใช้งานอยู่ผ่านเมนู Extensions > Manage ในหน้าจัดการเว็บไซต์
4.2 อัปเดตส่วนขยาย JCE เป็นเวอร์ชัน 2.9.99.5 หรือเวอร์ชันล่าสุดที่ปลอดภัยที่สุดทันที โดยดาวน์โหลดจากแหล่งทางการของ Widget Factory เท่านั้น
4.3 หากไม่สามารถอัปเดตได้ทันที ให้ตรวจสอบการตั้งค่า Access Control ในปลั๊กอินหรือส่วนขยาย JCE ว่ามีการจำกัดสิทธิ์การสร้างโปรไฟล์ Editor ใหม่ไว้เฉพาะผู้ดูแลระบบที่มีสิทธิ์เท่านั้น
4.4 ตรวจสอบ Log ของเว็บเซิร์ฟเวอร์และระบบไฟล์ เพื่อหาไฟล์ PHP ที่ถูกอัปโหลดขึ้นมาใหม่อย่างผิดปกติ หรือไฟล์ที่เปลี่ยนแปลงไปจากเดิมโดยไม่ได้รับอนุญาต
5. แนวทางลดความเสี่ยงชั่วคราว
5.1 จำกัดการเข้าถึงหน้าจัดการปลั๊กอินหรือส่วนขยาย (Extensions Manager) และหน้าตั้งค่า JCE ให้สามารถเข้าถึงได้เฉพาะ IP Address ของผู้ดูแลระบบเท่านั้น
5.2 ปิดการใช้งานฟังก์ชันการสร้างโปรไฟล์ Editor ใหม่สำหรับผู้ใช้ทั่วไป หากไม่มีความจำเป็นในการใช้งานจริง
5.3 ติดตั้งและเปิดใช้งาน Web Application Firewall (WAF) เพื่อกรองคำขอที่พยายามอัปโหลดไฟล์ที่มีนามสกุล .php หรือโค้ด PHP เข้าไปยังไดเรกทอรีของส่วนขยาย
แหล่งอ้างอิง