Cisco ออกประกาศแจ้งเตือนลูกค้าในวันที่ 17 ธันวาคม 2025 เกี่ยวกับช่องโหว่ Zero-day บนระบบปฏิบัติการ Cisco AsyncOS ที่มีความรุนแรงระดับสูงสุด และยังไม่มีแพตช์แก้ไข ซึ่งปัจจุบันกำลังถูกนำไปใช้ในการโจมตีอุปกรณ์ Secure Email Gateway (SEG) และ Secure Email and Web Manager (SEWM) อย่างต่อเนื่อง (more…)
พบ Hacker กำลังโจมตีช่องโหว่ที่มีความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Fortinet หลายรายการ เพื่อเข้าถึงบัญชีผู้ดูแลระบบโดยไม่ได้รับอนุญาต และขโมย configuration files (more…)
มีแคมเปญการโจมตีแบบเงียบ ๆ ที่แฝงมากับ extension จำนวน 19 รายการบน VSCode Marketplace ซึ่งเริ่มเคลื่อนไหวมาตั้งแต่เดือนกุมภาพันธ์ โดยมีเป้าหมายโจมตีนักพัฒนาซอฟต์แวร์ด้วยมัลแวร์ที่ซ่อนอยู่ในโฟลเดอร์ dependency
(more…)
มีแพตช์ที่ไม่เป็นทางการแจกฟรีสำหรับรับมือกับช่องโหว่ Zero-day ตัวใหม่ใน Windows ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถทำให้ Remote Access Connection Manager (RasMan) service หยุดทำงานได้
(more…)
Patch Tuesday ประจำเดือนธันวาคม 2025 ของ Microsoft มีการแก้ไขช่องโหว่จำนวน 57 รายการ โดยในจำนวนนี้รวมถึงช่องโหว่ Zero-day ที่กำลังถูกนำไปใช้ในการโจมตีจริงแล้ว 1 รายการ และที่ถูกเปิดเผยต่อสาธารณะแล้วอีก 2 รายการ
(more…)
Fortinet ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Critical จำนวน 2 รายการใน FortiOS, FortiWeb, FortiProxy และ FortiSwitchManager ซึ่งอาจทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตนของระบบ FortiCloud SSO ได้
(more…)
Notepad++ เวอร์ชัน 8.8.9 ถูกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในเครื่องมืออัปเดตที่ชื่อ WinGUp หลังจากที่มีนักวิจัย และผู้ใช้งานรายงานเหตุการณ์ที่ตัวอัปเดตทำการดาวน์โหลดไฟล์ Executable ที่เป็นอันตรายมา แทนที่จะเป็นแพ็กเกจอัปเดตที่ถูกต้อง
(more…)
การโจมตีรูปแบบใหม่ที่แตกแขนงมาจาก ClickFix ซึ่งถูกเรียกว่า 'ConsentFix' ได้อาศัยช่องโหว่ของแอป Azure CLI OAuth เพื่อเข้าควบคุมบัญชี Microsoft โดยที่คนร้ายไม่จำเป็นต้องใช้รหัสผ่าน หรือการยืนยันตัวตนผ่านระบบ MFA ได้
(more…)
ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ Privilege Escalation ระดับ Critical (CVE-2025–8489) ใน King Addons for Elementor plugin สำหรับ WordPress ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับผู้ดูแลระบบได้ในระหว่างขั้นตอนการลงทะเบียน
การโจมตีเริ่มขึ้นตั้งแต่วันที่ 31 ตุลาคม ซึ่งเป็นเวลาเพียงหนึ่งวันหลังจากที่มีการเปิดเผยช่องโหว่ดังกล่าวสู่สาธารณะ ล่าสุด Wordfence ผู้ให้บริการด้านความปลอดภัยสำหรับเว็บไซต์ WordPress รายงานว่าได้บล็อกความพยายามในการโจมตีไปแล้วกว่า 48,400 ครั้ง
King Addons เป็นปลั๊กอินเสริมจาก third-party สำหรับใช้งานร่วมกับ Elementor ซึ่งเป็นปลั๊กอินสร้างหน้าเว็บไซต์แบบภาพยอดนิยมสำหรับเว็บไซต์ WordPress ปัจจุบัน King Addons ถูกใช้งานบนเว็บไซต์ประมาณ 10,000 แห่ง โดยทำหน้าที่เพิ่ม widgets templates และฟีเจอร์เสริมต่าง ๆ
CVE-2025–8489 นี้ถูกพบโดยนักวิจัย Peter Thaleikis โดยเป็นช่องโหว่ registration handler ของ plugin ซึ่งทำให้ผู้ที่ลงทะเบียนสามารถระบุ role ผู้ใช้บนเว็บไซต์ รวมถึง role ผู้ดูแลระบบได้ โดยที่ระบบไม่มีการตรวจสอบ หรือจำกัดสิทธิ์ใด ๆ
จากการตรวจสอบของ Wordfence พบว่าผู้โจมตีใช้วิธีส่ง Crafted Request ไปยังไฟล์ admin-ajax.
Apple ได้ปล่อยแพตซ์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day จำนวน 2 รายการ ที่กำลังถูกนำไปใช้ในการโจมตีโดยมีเป้าหมายเจาะจงไปที่บุคคลบางกลุ่ม (more…)