
CISA แจ้งเตือนการพบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ใน iCagenda และ Balbooa Forms extensions ของ Joomla เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ผ่านการอัปโหลดไฟล์ใด ๆ ก็ได้ตามที่ต้องการ
ทางหน่วยงานได้จัดให้ช่องโหว่ดังกล่าวอยู่ในระดับที่มีความสำคัญสูงสุด โดยสั่งการให้หน่วยงานของรัฐบาลกลางทำการติดตั้งการอัปเดตความปลอดภัย หรือใช้มาตรการลดผลกระทบที่มี ให้แล้วเสร็จภายในสามวัน ซึ่งกำหนด Deadline คือภายในวันที่ 13 กรกฎาคมที่ผ่านมา
ช่องโหว่แรก มีหมายเลข CVE-2026-48939 เป็นช่องโหว่ Arbitrary file upload ที่ส่งผลกระทบต่อ iCagenda extension ซึ่งใช้งานสำหรับการลงทะเบียน, กำหนดการจัดกิจกรรม และการสร้างปฏิทิน
ผู้โจมตีสามารถโจมตีช่องโหว่นี้เพื่ออัปโหลดไฟล์ใด ๆ ก็ได้ไปยังเว็บเซิร์ฟเวอร์ รวมถึงสคริปต์ PHP ซึ่งอาจนำไปสู่การถูกขโมยข้อมูล, การติดตั้ง Web shell และการเข้าควบคุมเว็บไซต์ได้โดยสมบูรณ์ผ่านการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE)
CISA เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities (KEV) แล้ว โดยระบุว่า “iCagenda มีช่องโหว่เรื่องการอัปโหลดไฟล์ประเภทที่เป็นอันตรายได้โดยไม่มีการจำกัด ซึ่งอนุญาตให้สามารถอัปโหลดไฟล์ใด ๆ ก็ได้ในฟีเจอร์ File attachment ส่งผลให้เกิดการอัปโหลด และรันโค้ด PHP ได้ในท้ายที่สุด”
ช่องโหว่ที่สองที่ถูกเพิ่มเข้าไปใน KEV คือ CVE-2026-56291 ซึ่งเป็นช่องโหว่ Arbitrary file upload ใน Balbooa Forms extension สำหรับ Joomla
Balbooa Forms เป็นเครื่องมือสร้างแบบฟอร์มแบบ drag-and-drop สำหรับสร้างแบบฟอร์มติดต่อบนเว็บไซต์ Joomla ซึ่งมีฟังก์ชันรองรับการอัปโหลดไฟล์
ตามรายงานของ CISA ฟังก์ชันดังกล่าวสามารถถูกใช้เพื่ออัปโหลดไฟล์ประเภทที่เป็นอันตราย เช่น ไฟล์สำหรับรันโปรแกรม (executable files) ซึ่งนำไปสู่ RCE และการเข้าควบคุมเว็บไซต์ได้โดยสมบูรณ์
ข้อมูลจากแพลตฟอร์มด้านการจัดการ และความปลอดภัยเว็บไซต์ mySites.guru ระบุว่า ช่องโหว่ทั้งสองรายการนี้ถูกนำมาใช้ในการโจมตีแบบอัตโนมัติก่อนที่ผู้พัฒนาจะปล่อยแพตช์แก้ไขออกมา
สำหรับ iCagenda มีการตรวจพบการโจมตีเพียงไม่กี่ชั่วโมงก่อนการปล่อยเวอร์ชัน 4.0.8 ซึ่งเป็นเวอร์ชันที่แก้ไขช่องโหว่ CVE-2026-48939
บริการจัดการเว็บไซต์ดังกล่าวระบุว่า ช่องโหว่ CVE-2026-56291 ใน Balbooa Forms ถูกนำไปใช้ในการโจมตีในลักษณะ Zero-day โดยพบการนำมาใช้ในการโจมตีตั้งแต่วันที่ 8 กรกฎาคม หรือหนึ่งวันก่อนที่ผู้พัฒนาจะปล่อยแพตช์แก้ไขช่องโหว่ดังกล่าวออกมา
ผู้ดูแลระบบที่จัดการเว็บไซต์ Joomla ควรตรวจสอบว่ามีการติดตั้ง iCagenda และ Balbooa Forms ไว้หรือไม่ และดำเนินการตามความเหมาะสมเพื่อปกป้องระบบของตน
ช่องโหว่เหล่านี้ได้รับการแก้ไขแล้วใน iCagenda เวอร์ชัน 4.0.8 และ 3.9.15 ซึ่งปล่อยออกมาเมื่อวันที่ 15-16 มิถุนายน และใน Balbooa Forms เวอร์ชัน 2.4.1 ซึ่งปล่อยออกมาเมื่อวันที่ 9 กรกฎาคม
ที่มา : bleepingcomputer

You must be logged in to post a comment.