Adobe เตือนเร่งอัปเดต ColdFusion หลังยืนยันช่องโหว่ Critical ถูกใช้โจมตีจริง

ยอดเข้าชม: 56 views

369/69 (IT) ประจำวันอังคารที่ 7 กรกฎาคม 2569

นักวิจัยด้านความปลอดภัยเปิดเผย ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ระดับ Critical หมายเลข CVE-2026-58034 ใน Adobe ColdFusion เพื่อโจมตีเซิร์ฟเวอร์ที่ยังไม่ได้ติดตั้งแพตช์ โดย Adobe ได้ปรับสถานะของช่องโหว่ดังกล่าวเป็น Priority 1 และยืนยันว่ามีการนำไปใช้โจมตีจริงแล้ว ช่องโหว่มีคะแนนความรุนแรง CVSS 10.0 และอาจเปิดทางให้ผู้โจมตีรันโค้ดโดยไม่ได้รับอนุญาตบนเซิร์ฟเวอร์ที่ได้รับผลกระทบ

ช่องโหว่ดังกล่าวเกิดจากปัญหา Deserialization of Untrusted Data ซึ่งผู้โจมตีสามารถส่งข้อมูลที่ถูกสร้างขึ้นเป็นพิเศษไปยังเซิร์ฟเวอร์ ColdFusion เพื่อรันโค้ดด้วยสิทธิ์ของบริการที่กำลังทำงานอยู่ โดย Adobe ไม่ได้เปิดเผยรายละเอียดทางเทคนิคหรือรูปแบบการโจมตีเพิ่มเติม เนื่องจากพบว่าช่องโหว่ถูกนำไปใช้โจมตีจริงแล้ว ทั้งนี้ ช่องโหว่ส่งผลกระทบต่อ Adobe ColdFusion 2025 รุ่นก่อน Update 4, ColdFusion 2023 รุ่นก่อน Update 16 และ ColdFusion 2021 รุ่นก่อน Update 22

ผู้ดูแลระบบที่ใช้งาน Adobe ColdFusion ควรเร่งอัปเดตเป็นเวอร์ชันที่ผู้พัฒนาแก้ไขแล้วโดยเร็ว พร้อมตรวจสอบบันทึกเหตุการณ์และกิจกรรมที่ผิดปกติบนเซิร์ฟเวอร์ โดยเฉพาะการรันคำสั่งที่ไม่ได้รับอนุญาต การสร้างไฟล์หรือโปรเซสที่ไม่รู้จัก และการเชื่อมต่อออกไปยังปลายทางภายนอกที่ผิดปกติ รวมถึงควรจำกัดการเข้าถึงบริการจากอินเทอร์เน็ตเท่าที่จำเป็น เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ดังกล่าว

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/max-severity-adobe-coldfusion-flaw-now-exploited-in-attacks/