80/68 (IT) ประจำวันพฤหัสบดีที่ 27 กุมภาพันธ์ 2568
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ CVE-2017-3066 ของ Adobe ColdFusion และ CVE-2024-20953 ของ Oracle Agile Product Lifecycle Management (PLM) ลงใน Known Exploited Vulnerabilities (KEV) catalog โดยมีรายละเอียดของช่องโหว่ดังนี้
– ช่องโหว่ CVE-2017-3066 มีคะแนนความรุนแรง CVSS 9.8 เป็นปัญหา Java Deserialization ใน Apache BlazeDS ของ Adobe ColdFusion 2016 Update 3 และเวอร์ชันก่อนหน้า ซึ่งช่วยให้แฮกเกอร์สามารถรันโค้ดอันตรายจากระยะไกล (Remote Code Execution – RCE) ได้
– ช่องโหว่ CVE-2024-20953 มีคะแนนความรุนแรง CVSS 8.8 เป็นช่องโหว่ Deserialization of Untrusted Data ใน Oracle Agile PLM เวอร์ชัน 9.3.6 ที่เปิดช่องให้แฮกเกอร์สามารถ เข้าควบคุมระบบผ่าน HTTP
เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่เหล่านี้ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) ต้องอัปเดตแก้ไขช่องโหว่ภายในวันที่ 24 มีนาคม 2025 ตามแนวทางของ Binding Operational Directive (BOD) 22-01 ซึ่งเป็นมาตรการเพื่อลดความเสี่ยงจากช่องโหว่ที่ถูกใช้โจมตี นอกจากนี้ CISA ยังแนะนำให้องค์กรเอกชนตรวจสอบรายการ KEV และดำเนินมาตรการป้องกันที่เหมาะสม เพื่อป้องกันการถูกโจมตีจากช่องโหว่เหล่านี้
