517/68 (IT) ประจำวันพฤหัสบดีที่ 11 ธันวาคม 2568
บริษัท Ivanti ได้ออกประกาศแจ้งเตือนเกี่ยวกับช่องโหว่ความรุนแรงสูงในผลิตภัณฑ์ Ivanti Endpoint Manager (EPM) ที่หมายเลข CVE-2025-10573 มีคะแนน CVSS 9.6 โดยช่องโหว่นี้เป็นแบบ Stored Cross-Site Scripting (Stored XSS) ที่ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถฝังโค้ด JavaScript อันตรายลงในระบบ และนำไปสู่การเข้าควบคุมเซสชันของผู้ดูแลระบบได้เมื่อมีการเปิดดูหน้าแดชบอร์ดที่ถูกฝังสคริปต์ ช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชัน ก่อน 2024 SU4 SR1
ผลการวิเคราะห์จาก Rapid7 ระบุว่าผู้โจมตีสามารถลงทะเบียนอุปกรณ์ปลอมในระบบ EPM และส่งข้อมูลสแกนที่มี JavaScript แฝงอยู่เข้ามา เมื่อข้อมูลดังกล่าวถูกประมวลผลและแสดงในแดชบอร์ดของผู้ดูแล สคริปต์จะทำงานทันที ทำให้ผู้โจมตีสามารถยึดเซสชันของผู้ดูแลได้ ช่องโหว่นี้เกิดจาก API ภายในที่รับข้อมูลโดยไม่ตรวจสอบความปลอดภัย และไม่มีการ sanitize อินพุต ก่อนจะแสดงผลผ่าน CGI handler ซึ่งเป็นจุดอ่อนสำคัญ แม้ในขณะนี้ยังไม่มีรายงานการโจมตีจริง แต่ด้วยช่องโหว่ที่ไม่ต้องใช้การพิสูจน์ตัวตน ทำให้มีความเสี่ยงสูงต่อการถูกนำไปใช้โจมตีในวงกว้าง
Ivanti แนะนำให้ผู้ใช้งานเร่งอัปเดตเป็นเวอร์ชันล่าสุดโดยทันทีเพื่อปิดช่องโหว่ดังกล่าว ขณะที่ผู้เชี่ยวชาญเตือนว่า การปล่อยช่องโหว่ประเภทนี้ไว้ในระบบอาจนำไปสู่การยึดสิทธิ์ผู้ดูแลและควบคุมโครงสร้างพื้นฐานสำคัญภายในองค์กรได้ ก่อนหน้านี้ CISA ได้เพิ่มช่องโหว่อื่นใน EPM หลายรายการลงใน Known Exploited Vulnerabilities (KEV) Catalog จึงคาดว่าช่องโหว่ล่าสุดนี้จะถูกติดตามอย่างใกล้ชิดและเป็นความเสี่ยงที่ทุกองค์กรควรรีบดำเนินการแก้ไขโดยเร็วที่สุด
