ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์การค้นพบช่องโหว่ด้านความปลอดภัยในแพลตฟอร์ม PDF แบบ Web-based ซึ่งอาจถูกนำไปใช้ในการโจมตีได้ด้วยการเปิดเอกสารหรือคลิกลิงก์เพียงครั้งเดียว จึงขอให้ผู้ใช้งานเพิ่มความระมัดระวัง ตรวจสอบการอัปเดตแพตช์ความปลอดภัยอย่างสม่ำเสมอ และเฝ้าระวังพฤติกรรมการใช้งานที่ผิดปกติในระบบที่เกี่ยวข้อง
1. รายละเอียดภัยคุกคาม
นักวิจัยจากบริษัทด้านความมั่นคงปลอดภัยไซเบอร์ Novee ได้ค้นพบช่องโหว่ในแพลตฟอร์ม PDF ยอดนิยมของ Foxit และ Apryse โดยแสดงให้เห็นว่าผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อยึดบัญชีผู้ใช้ (Account Takeover) ขโมยข้อมูล (Data Exfiltration) หรือดำเนินการโจมตีในรูปแบบอื่นได้ เนื่องจากแพลตฟอร์ม PDF สมัยใหม่มีโครงสร้างซับซ้อนคล้ายเว็บแอปพลิเคชัน เช่น การใช้ iframe และการสร้างหน้าเว็บจากฝั่งเซิร์ฟเวอร์ (Server-Side Rendering) ส่งผลให้เกิดความเสี่ยงด้าน Trust Boundary หรือการเชื่อถือข้อมูลจากภายนอกที่ไม่ตรวจสอบอย่างเหมาะสม โดยการทดสอบมุ่งเป้าไปที่ Apryse WebViewer (เดิม PDFTron) และบริการ PDF Cloud ของ Foxit ซึ่งถูกฝังอยู่ในเว็บแอปพลิเคชันขององค์กรจำนวนมาก โดยพบช่องโหว่รวม 16 รายการ ที่สามารถถูกใช้โจมตีได้ด้วยคำขอเพียงครั้งเดียว และเกิดขึ้นบนโดเมนที่องค์กรเชื่อถือ รวมถึงในระบบที่มีการยืนยันตัวตนแล้ว โดยประเภทช่องโหว่ที่ตรวจพบ ได้แก่
1.1 DOM-based XSS
ช่องโหว่ที่เกิดจากการจัดการข้อมูลในฝั่งเบราว์เซอร์ (DOM) ไม่ปลอดภัย ทำให้ผู้โจมตีฝังและรันสคริปต์ในบริบทของผู้ใช้ได้
1.2 Stored และ Reflected XSS
ช่องโหว่ Cross-Site Scripting ที่สามารถฝังสคริปต์ถาวรในระบบ (Stored) หรือสะท้อนค่ากลับทันทีผ่านคำขอ (Reflected) ส่งผลให้ขโมย Session หรือยึดบัญชีได้
1.3 SSRF (Server-Side Request Forgery)
ช่องโหว่ที่ทำให้ผู้โจมตีบังคับให้เซิร์ฟเวอร์ส่งคำขอไปยังระบบภายในหรือบริการอื่นโดยไม่ได้รับอนุญาต
1.4 Path Traversal
ช่องโหว่ที่เปิดให้เข้าถึงไฟล์หรือไดเรกทอรีนอกเหนือจากที่กำหนด อาจนำไปสู่การอ่านไฟล์สำคัญของระบบ
1.5 OS Command Injection
ช่องโหว่ที่ทำให้ผู้โจมตีสามารถสั่งรันคำสั่งบนระบบปฏิบัติการของเซิร์ฟเวอร์ ส่งผลกระทบรุนแรง เช่น การควบคุมระบบหรือรั่วไหลของข้อมูล
2. ภาพรวมความเสี่ยงเชิงเทคนิค
ในกรณีที่ PDF Viewer ถูกฝังในแอปพลิเคชันที่ผู้ใช้ล็อกอินอยู่แล้ว ผู้โจมตีสามารถใช้ช่องโหว่ XSS เพื่อขโมย Session หรือ Token และยึดบัญชีได้ นอกจากนี้ ยังมีความเสี่ยงดังต่อไปนี้
2.1 การขโมยข้อมูลเอกสารหรือข้อมูลผู้ใช้
2.2 การแก้ไขหรือบิดเบือนเนื้อหาเอกสาร
2.3 การฝัง Payload ที่คงอยู่แม้รีเฟรชหน้าเว็บ (Persistent Compromise)
2.4 การสั่งรันคำสั่งบนเซิร์ฟเวอร์ backend ในกรณี OS Command Injection
3. ตัวอย่าง CVE ที่เกี่ยวข้อง
3.1 CVE-2025-70402 และ CVE-2025-70400 (CVSS V3.1 score N/A) ช่องโหว่ใน Apryse WebViewer ที่เชื่อถือไฟล์ configuration จากภายนอกโดยไม่ตรวจสอบ ทำให้ผู้โจมตีสามารถรันโค้ดผ่านลิงก์ที่สร้างขึ้นเป็นพิเศษ
3.2 CVE-2025-70401 (CVSS V3.1 score N/A) ช่องโหว่ XSS ที่สามารถฝังสคริปต์ไว้ในฟิลด์ Author ของคอมเมนต์ PDF และทำงานเมื่อผู้ใช้โต้ตอบกับเอกสาร
3.3 CVE-2025-66500 (CVSS V3.1 score 6.3) ช่องโหว่ในปลั๊กอินเว็บของ Foxit ที่เปิดช่องให้รันสคริปต์ผ่านข้อความที่ถูกปลอมแปลง
4. ผลิตภัณฑ์และระบบที่ได้รับผลกระทบ
4.1 Apryse WebViewer ที่ฝังในเว็บแอปพลิเคชัน
4.2 Foxit PDF Editor Cloud และบริการ PDF แบบ Web/Cloud อื่นของ Foxit
4.3 แอปพลิเคชันองค์กรที่ฝัง PDF Viewer ในระบบที่ต้องยืนยันตัวตน
4.4 ระบบที่เปิดให้ผู้ใช้ภายนอกอัปโหลดหรือแสดงผลไฟล์ PDF
5. แนวทางการบรรเทาและป้องกันความเสี่ยง
5.1 อัปเดตแพตช์ล่าสุดจากผู้พัฒนาโดยทันที
5.2 ตรวจสอบการตั้งค่า WebViewer และปิดการโหลดทรัพยากรจากโดเมนภายนอกที่ไม่จำเป็น
5.3 กำหนด Content Security Policy (CSP) และจำกัด JavaScript execution
5.4 แยกสิทธิ์การทำงานของ PDF Service และรันภายใต้หลัก Least Privilege
5.5 ใช้ Web Application Firewall (WAF) ตรวจจับ XSS, SSRF และ Command Injection
5.6 เปิดใช้ Logging และ Monitoring เพื่อตรวจจับพฤติกรรมผิดปกติ
5.7 ประเมินความเสี่ยงของระบบ e-Signature และระบบจัดการเอกสารออนไลน์
6. คำแนะนำด้านความปลอดภัยเพิ่มเติม
6.1 หลีกเลี่ยงการเปิดไฟล์ PDF จากแหล่งที่ไม่น่าเชื่อถือ
6.2 ระมัดระวังเอกสารที่มีการร้องขอให้คลิกลิงก์หรือกรอกข้อมูลทันที
6.3 อบรมผู้ใช้งานเกี่ยวกับความเสี่ยงของเอกสาร PDF ที่ฝังสคริปต์
6.4 ปรับปรุงมาตรการรักษาความปลอดภัยเว็บไซต์ตามแนวทางของ OWASP (Open Web Application Security Project)
7. แหล่งอ้างอิง
