CISA ประกาศเตือนช่องโหว่ระดับวิกฤตใน Adobe ColdFusion, Langflow และส่วนขยาย Joomla ที่ได้รับการยืนยันว่าถูกใช้ในการโจมตีแล้ว ขอให้ผู้ดูแลระบบเร่งดำเนินการแก้ไขโดยด่วน

ยอดเข้าชม: 41 views

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัย ที่ส่งผลกระทบต่อ Adobe ColdFusion, Langflow และส่วนขยายของ Joomla ได้แก่ SP Page Builder และ Page Builder CK ซึ่งปัจจุบันได้รับการยืนยันจาก Cybersecurity and Infrastructure Security Agency (CISA) ว่าถูกใช้ในการโจมตีจริงแล้ว (Known Exploited Vulnerabilities: KEV) จึงขอให้ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบดำเนินการตรวจสอบและอัปเดตโดยเร็วที่สุด

1. รายละเอียดช่องโหว่
1.1 ช่องโหว่ใน Adobe ColdFusion [1] หมายเลข CVE-2026-48282 (CVSS 3.1: 10.0) [2] เป็นช่องโหว่ประเภท Path Traversal ที่อาจเปิดโอกาสให้ผู้โจมตีสามารถเข้าถึงไฟล์ที่ไม่ควรเข้าถึง และนำไปสู่การรันโค้ดหรือคำสั่งบนระบบ (Remote Code Execution: RCE) ส่งผลให้สามารถเข้าควบคุมเซิร์ฟเวอร์ที่ได้รับผลกระทบได้
1.2 ช่องโหว่ใน Langflow [3] หมายเลข CVE-2026-55255 (CVSS 3.1: 8.4) [4] เป็นช่องโหว่ประเภท Cross-Tenant Insecure Direct Object Reference (IDOR) ที่เกิดจากการตรวจสอบสิทธิ์การเข้าถึงข้อมูลไม่เหมาะสม ทำให้ผู้โจมตีสามารถระบุค่า Flow UUID ของผู้ใช้งานรายอื่นเพื่อเรียกใช้งาน Workflow ข้าม Tenant และสามารถนำไปใช้ร่วมกับช่องโหว่อื่นเพื่อยกระดับเป็นการรันคำสั่งบนระบบ
1.3 ช่องโหว่ในส่วนขยาย SP Page Builder สำหรับ Joomla [5] หมายเลข CVE-2026-48908 (CVSS 3.1: 9.8) [6] เป็นช่องโหว่ประเภท Improper Access Control ที่เกิดจากฟังก์ชันอัปโหลด Custom Icon ซึ่งสามารถเข้าถึงได้โดยไม่ต้องยืนยันตัวตน ส่งผลให้ผู้โจมตีสามารถอัปโหลดไฟล์ PHP ไปยัง Web Root และรันโค้ดบนเซิร์ฟเวอร์ (Remote Code Execution: RCE)
1.4 ช่องโหว่ในส่วนขยาย Page Builder CK สำหรับ Joomla [7] หมายเลข CVE-2026-56290 (CVSS 3.1: 9.8) [8] เป็นช่องโหว่ประเภท Unauthenticated Arbitrary File Upload ที่เปิดโอกาสให้ผู้โจมตีสามารถอัปโหลดไฟล์อันตรายโดยไม่ต้องผ่านการยืนยันตัวตน ส่งผลให้สามารถรันโค้ดบน Web Server และเข้าควบคุมระบบที่ได้รับผลกระทบได้

2. รูปแบบการโจมตี
จากการติดตามสถานการณ์ของ Cybersecurity and Infrastructure Security Agency (CISA) พบว่าช่องโหว่ดังกล่าวได้รับการบรรจุอยู่ในบัญชี Known Exploited Vulnerabilities (KEV) ซึ่งยืนยันว่ามีการนำช่องโหว่ไปใช้ในการโจมตีแล้ว [9] โดยมีรูปแบบการโจมตีที่ตรวจพบ ดังนี้
2.1 ผู้โจมตีทำการสแกนค้นหาระบบที่ใช้งาน Adobe ColdFusion, Langflow หรือส่วนขยาย Joomla ที่มีช่องโหว่ เพื่อใช้ประโยชน์จากช่องโหว่ในการรันคำสั่ง และเข้าควบคุมระบบที่ได้รับผลกระทบ
2.2 อัปโหลดไฟล์อันตรายหรือ Web Shell เพื่อควบคุมระบบ โดยอาศัยช่องโหว่ในการอัปโหลดไฟล์ PHP หรือ Web Shell ลงบน Web Server เพื่อใช้เป็นช่องทางในการเข้าถึงและควบคุมระบบในระยะยาว
2.3 กรณีของส่วนขยาย Joomla มีรายงานการสร้างบัญชีผู้ดูแลระบบโดยไม่ได้รับอนุญาต (Hidden Administrator Account) เพื่อใช้รักษาสิทธิ์การเข้าถึงเว็บไซต์และหลีกเลี่ยงการตรวจจับ
2.4 ในกรณีของ Langflow พบว่าผู้โจมตีมีการสำรวจระบบ (Host Reconnaissance) รวบรวม Flow UUID และใช้ร่วมกับช่องโหว่อื่นเพื่อเพิ่มผลกระทบของการโจมตี

3. ผลิตภัณฑ์ที่ได้รับผลกระทบ
3.1 Adobe ColdFusion 2025 Update 9 และเวอร์ชันก่อนหน้า
3.2 Adobe ColdFusion 2023 Update 20 และเวอร์ชันก่อนหน้า
3.3 Langflow เวอร์ชันก่อน 1.9.1
3.4 SP Page Builder เวอร์ชันก่อน 6.6.2
3.5 Page Builder CK เวอร์ชันก่อน 3.6.0

4. แนวทางการแก้ไขช่องโหว่
4.1 สำหรับช่องโหว่ใน Adobe ColdFusion ให้อัปเดต Adobe ColdFusion 2025 Update 10 , Adobe ColdFusion 2023 Update 21 หรือใหม่กว่าโดยทันที หากยังไม่สามารถอัปเดตได้ ควรจำกัดการเข้าถึงระบบผ่าน Firewall หรือ VPN และลดการเปิดเผยบริการสู่เครือข่ายภายนอก อย่างไรก็ตาม ยังไม่มี Workaround ที่สามารถป้องกันความเสี่ยงได้อย่างสมบูรณ์
4.2 สำหรับช่องโหว่ใน Langflow ให้อัปเดตเป็นเวอร์ชัน 1.9.1 หรือใหม่กว่าโดยทันที หากยังไม่สามารถอัปเดตได้ ควรจำกัดการเข้าถึงบริการเฉพาะผู้ใช้งานที่ได้รับอนุญาต และไม่เปิดให้เข้าถึงจากอินเทอร์เน็ตโดยตรง
4.3 สำหรับช่องโหว่ใน SP Page Builder ให้อัปเดตเป็นเวอร์ชัน 6.6.2 หรือใหม่กว่าโดยทันที จากนั้นให้ดำเนินการตรวจสอบเว็บไซต์ว่ามีการอัปโหลดไฟล์ PHP หรือไฟล์ที่ไม่พึงประสงค์ไว้ใน Web Root หรือไม่ และตรวจสอบบัญชีผู้ดูแลระบบที่ถูกสร้างขึ้นใหม่โดยไม่ได้รับอนุญาต
4.4 สำหรับช่องโหว่ Page Builder CK ให้อัปเดตเป็นเวอร์ชัน 3.6.0 หรือใหม่กว่าโดยทันที จากนั้นให้ดำเนินการตรวจสอบการมีอยู่ของ Web Shell หรือไฟล์ PHP ที่ผิดปกติภายในเว็บไซต์ และตรวจสอบ Log การอัปโหลดไฟล์และกิจกรรมของผู้ดูแลระบบย้อนหลัง

แหล่งอ้างอิง
[1] https://dg.th/nmouwt68zk
[2] https://dg.th/mpfesgoxw4
[3] https://dg.th/fzq0nju3sl