ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนหน่วยงานและผู้ดูแลระบบที่ใช้งาน MetInfo CMS ให้เร่งตรวจสอบและอัปเดตระบบโดยด่วน เนื่องจากมีรายงานการโจมตีช่องโหว่ CVE-2026-29014 ซึ่งเป็นช่องโหว่ประเภท PHP Code Injection ที่มีค่าความรุนแรง CVSS 3.1: 9.8 โดยผู้โจมตีที่ยังไม่ผ่านการยืนยันตัวตนอาจสามารถส่งคำขอที่ถูกปรับแต่งเป็นพิเศษและมีโค้ด PHP อันตราย เพื่อรันโค้ดบนเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต และอาจนำไปสู่การเข้าควบคุมระบบโดยไม่ได้รับอนุญาต
1. รายละเอียดช่องโหว่ [1][2]
พบการโจมตีช่องโหว่ร้ายแรงใน MetInfo CMS ซึ่งเป็นระบบบริหารจัดการเนื้อหาเว็บไซต์แบบโอเพนซอร์ส โดยช่องโหว่ CVE-2026-29014 (CVSS 3.1: 9.8 )จัดเป็นช่องโหว่ประเภท PHP Code Injection ที่อาจนำไปสู่การรันโค้ดในระบบโดยไม่ได้รับอนุญาตได้ ทั้งนี้สาเหตุเกิดจากการตรวจสอบและกรองข้อมูลที่ผู้ใช้งานส่งเข้ามาไม่เพียงพอในกระบวนการเรียกใช้งาน Weixin หรือ WeChat API ภายใต้สคริปต์ /app/system/weixin/include/class/weixinreply.class.php ทำให้ผู้โจมตีที่ยังไม่ผ่านการยืนยันตัวตนสามารถส่งคำขอที่ถูกปรับแต่งเป็นพิเศษและมีโค้ด PHP อันตราย ซึ่งอาจนำไปสู่การรันโค้ดบนเซิร์ฟเวอร์ได้โดยไม่ได้รับอนุญาต
จากข้อมูลในรายงาน ผู้พัฒนา MetInfo ได้ออกแพตช์แก้ไขช่องโหว่ดังกล่าวแล้วเมื่อวันที่ 7 เมษายน 2569 และเริ่มพบการโจมตีหลังจากนั้นตั้งแต่วันที่ 25 เมษายน 2569 โดยในช่วงแรกพบการโจมตีจำนวนไม่มากต่อ honeypot ที่อยู่ในสหรัฐอเมริกาและสิงคโปร์ ก่อนที่กิจกรรมการโจมตีจะเพิ่มขึ้นในวันที่ 1 พฤษภาคม 2569 ทั้งนี้ ปัจจุบันพบว่าการโจมตีมุ่งเป้าไปยัง IP address ในจีนและฮ่องกงเป็นหลัก
2. ผลิตภัณฑ์และระบบที่ได้รับผลกระทบ
2.1 MetInfo CMS เวอร์ชัน 7.9
2.2 MetInfo CMS เวอร์ชัน 8.0
2.3 MetInfo CMS เวอร์ชัน 8.1
2.4 ระบบ MetInfo CMS ที่มีไดเรกทอรี /cache/weixin/ อยู่บนระบบ เช่น กรณีมีการติดตั้งและตั้งค่า official WeChat plugin โดยเฉพาะระบบที่ติดตั้งบนเซิร์ฟเวอร์ที่ไม่ใช่ Windows ซึ่งเป็นเงื่อนไขประกอบที่อาจทำให้การโจมตีสำเร็จ
3. ผลกระทบที่อาจเกิดขึ้น
หากระบบได้รับผลกระทบและถูกโจมตีสำเร็จ ผู้โจมตีที่ยังไม่ผ่านการยืนยันตัวตนอาจสามารถรันโค้ด PHP อันตรายบนเซิร์ฟเวอร์ได้ ส่งผลให้สามารถเข้าควบคุมเซิร์ฟเวอร์ที่ได้รับผลกระทบ เปลี่ยนแปลงไฟล์เว็บไซต์ ฝัง web shell หรือ backdoor ขโมยข้อมูลภายในระบบ หรือใช้เซิร์ฟเวอร์เป็นจุดต่อยอดการโจมตีไปยังระบบอื่นได้
4. แนวทางการตรวจสอบและป้องกัน
4.1 ตรวจสอบว่าองค์กรมีการใช้งาน MetInfo CMS เวอร์ชัน 7.9, 8.0 หรือ 8.1 หรือไม่
4.2 อัปเดต MetInfo CMS เป็นเวอร์ชันที่ได้รับการแก้ไขแล้วโดยด่วนที่สุด
4.3 ตรวจสอบการมีอยู่ของไดเรกทอรี /cache/weixin/ และการใช้งาน official WeChat plugin โดยเฉพาะระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ต
4.4 ตรวจสอบ log ของเว็บเซิร์ฟเวอร์เพื่อค้นหาคำขอที่ผิดปกติไปยัง path ที่เกี่ยวข้องกับ /app/system/weixin/include/class/weixinreply.class.php หรือพฤติกรรมการส่ง request ที่มีลักษณะฝังโค้ด PHP
4.5 ตรวจสอบไฟล์ผิดปกติ เช่น web shell, backdoor หรือไฟล์ PHP ที่ถูกสร้างหรือแก้ไขในช่วงเวลาที่เกี่ยวข้องกับการโจมตี
4.6 จำกัดการเข้าถึงหน้า CMS หรือส่วนบริหารจัดการจากอินเทอร์เน็ต และอนุญาตเฉพาะ IP ที่จำเป็นหรือเข้าถึงผ่าน VPN
4.7 ใช้ WAF, IPS, EDR หรือระบบตรวจจับภัยคุกคาม เพื่อเฝ้าระวังพฤติกรรม code injection, web shell upload, command execution และการเชื่อมต่อออกไปยังปลายทางที่ผิดปกติ
5. แนวทางลดความเสี่ยงชั่วคราว
5.1 หากยังไม่สามารถอัปเดตได้ทันที ให้พิจารณาจำกัดการเข้าถึงฟังก์ชันหรือปลั๊กอินที่เกี่ยวข้องกับ Weixin หรือ WeChat API ชั่วคราว และเร่งวางแผนอัปเดตเป็นเวอร์ชันที่ได้รับการแก้ไขโดยเร็วที่สุด
5.2 ตรวจสอบและจำกัดสิทธิ์การเขียนไฟล์ในไดเรกทอรีที่เว็บเซิร์ฟเวอร์สามารถเข้าถึงได้ เพื่อลดความเสี่ยงจากการฝังไฟล์อันตราย
5.3 จำกัดการเข้าถึงระบบ MetInfo CMS จากภายนอก โดยใช้ allowlist, VPN หรือ reverse proxy ที่มีการตรวจสอบความปลอดภัย
5.4 สำรองข้อมูลเว็บไซต์และฐานข้อมูลอย่างสม่ำเสมอ และทดสอบขั้นตอนการกู้คืนระบบ
แหล่งอ้างอิง