274/69 (IT) ประจำวันพฤหัสบดีที่ 21 พฤษภาคม 2569
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จากบริษัท HiddenLayer รายงานการค้นพบช่องโหว่ความรุนแรงระดับสูงสุด รหัส CVE-2026-45829 บน ChromaDB ซึ่งเป็นระบบฐานข้อมูลเวกเตอร์แบบโอเพนซอร์สที่ได้รับความนิยมในการใช้พัฒนาระบบปัญญาประดิษฐ์ (AI) และโมเดลภาษาขนาดใหญ่ (LLM) โดยช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้โจมตีที่ไม่มีสิทธิ์การเข้าถึง สามารถรันโค้ดอันตรายบนเซิร์ฟเวอร์ที่มีการเปิดให้เชื่อมต่อผ่านอินเทอร์เน็ตได้ ช่องโหว่นี้มีความอันตรายและอาจส่งผลกระทบในวงกว้างต่อโครงสร้างพื้นฐานทางเทคโนโลยีของหลายองค์กร เนื่องจากแพ็กเกจไลบรารีบน PyPI ของระบบนี้มีสถิติการดาวน์โหลดใช้งานสูงถึงเกือบ 14 ล้านครั้งต่อเดือน
สำหรับรายละเอียดทางเทคนิค ช่องโหว่นี้ส่งผลกระทบต่อระบบ ChromaDB ที่ประมวลผลเซิร์ฟเวอร์ API ด้วยภาษา Python โดยมีสาเหตุมาจากความผิดพลาดในการจัดลำดับขั้นตอนการตรวจสอบสิทธิ์ (Authentication) ผู้โจมตีสามารถส่งคำสั่งที่ถูกสร้างขึ้นมาเป็นพิเศษ เพื่อหลอกให้ระบบดาวน์โหลดโมเดลอันตรายจากแพลตฟอร์มภายนอกอย่าง Hugging Face และสั่งรันโมเดลนั้นบนเครื่องเซิร์ฟเวอร์ได้สำเร็จ ก่อนที่ระบบจะทำการตรวจสอบสิทธิ์การเข้าใช้งาน แม้ในภายหลังระบบจะปฏิเสธคำขอและแจ้งข้อผิดพลาด แต่โค้ดอันตรายดังกล่าวก็ถูกประมวลผลไปเป็นที่เรียบร้อยแล้ว เบื้องต้นมีรายงานว่าช่องโหว่นี้พบได้ตั้งแต่เวอร์ชัน 1.0.0 ถึง 1.5.8 และจากการตรวจสอบข้อมูลบน Shodan พบว่าเซิร์ฟเวอร์ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ตสาธารณะกว่าร้อยละ 73 ยังคงใช้งานเวอร์ชันที่มีความเสี่ยง ทั้งนี้ ช่องโหว่ดังกล่าวจะไม่ส่งผลกระทบต่อผู้ที่ใช้งานเซิร์ฟเวอร์บนเครือข่ายภายในที่ไม่เชื่อมต่ออินเทอร์เน็ต หรือผู้ที่ตั้งค่าระบบผ่านทาง Rust front-end
ปัจจุบันทางผู้พัฒนาได้มีการปล่อยอัปเดตเวอร์ชัน 1.5.9 ออกมาแล้ว แต่ยังอยู่ระหว่างการตรวจสอบและไม่มีการยืนยันอย่างเป็นทางการว่ามีการแก้ไขช่องโหว่นี้อย่างสมบูรณ์หรือไม่ ดังนั้น เพื่อเป็นการป้องกันและลดความเสี่ยง ผู้ดูแลระบบและนักพัฒนาซอฟต์แวร์ที่ใช้งาน ChromaDB ควรดำเนินการปรับปรุงการตั้งค่าโดยหลีกเลี่ยงการเปิดเผยเซิร์ฟเวอร์ Python API สู่เครือข่ายอินเทอร์เน็ตสาธารณะ และควรจำกัดสิทธิ์การเข้าถึงเครือข่ายในระดับไฟร์วอลล์ ให้สามารถเข้าถึงได้เฉพาะพอร์ตที่จำเป็นเท่านั้น นอกจากนี้ องค์กรอาจพิจารณาเปลี่ยนไปใช้การประมวลผลผ่าน Rust front-end แทน และควรเฝ้าระวังการเชื่อมต่อที่ผิดปกติอย่างใกล้ชิดจนกว่าจะมีการยืนยันแพตช์แก้ไขด้านความปลอดภัยที่ชัดเจน