[{"content":"สรุปสั้น เมื่อวันที่ 15 พฤษภาคม 2569 นักวิจัยเปิดเผยช่องโหว่ใหม่ในเคอร์เนล Linux ชื่อรหัส Fragnesia ช่องโหว่ CVE-2026-46300 มีคะแนน CVSS 7.8 ระดับ High เป็นรูปแบบใหม่ของ Dirty Frag vulnerability ปัญหาอยู่ใน XFRM ESP-in-TCP subsystem ของเคอร์เนล ซึ่งจัดการ IPsec encapsulation ผ่าน TCP ผู้โจมตีที่มีสิทธิ์ local access สามารถใช้ช่องโหว่นี้ยกระดับสิทธิ์เป็น root ได้ผ่านการ corrupt page cache กระทบ Linux distributions หลักหลายตัว และ Kubernetes clusters จำนวนมากที่ทำงานบน Linux\nรายละเอียดช่องโหว่ Fragnesia ใช้เทคนิค Page Cache Corruption เพื่อยกระดับสิทธิ์:\nช่องโหว่อยู่ในส่วน XFRM ESP-in-TCP ที่จัดการ fragmentation ของ IPsec packets ที่ส่งผ่าน TCP การจัดการหน่วยความจำที่ผิดพลาดทำให้ผู้โจมตีสามารถ corrupt page cache ที่เก็บข้อมูลของไฟล์ระบบ เมื่อ page cache ถูก corrupt ผู้โจมตีสามารถเขียนทับข้อมูลในไฟล์ที่มีสิทธิ์สูง เช่น /etc/passwd หรือ SUID binaries ผลลัพธ์คือการได้สิทธิ์ root โดยไม่ต้องรู้ password ระบบที่ได้รับผลกระทบ ช่องโหว่กระทบ Linux distributions หลักที่ใช้เคอร์เนลรุ่นที่มีช่องโหว่:\nUbuntu Debian Red Hat Enterprise Linux / CentOS SUSE Linux Enterprise Amazon Linux Cloud Linux workloads (EC2, GCE, Azure VMs) Kubernetes clusters ที่ทำงานบน Linux nodes ข้อมูลสำคัญ: ณ เวลาที่เผยแพร่ ยังไม่พบการโจมตีจริงในธรรมชาติ (no in-the-wild exploitation observed) และแพตช์สำหรับเคอร์เนลพร้อมใช้แล้ว\nผลกระทบต่อไทย โครงสร้างพื้นฐานดิจิทัลของประเทศไทยพึ่งพา Linux เซิร์ฟเวอร์เป็นหลัก ทั้งในศูนย์ข้อมูลภาครัฐ ระบบ cloud ของธนาคาร และ Kubernetes clusters ของบริษัท tech\nแม้ช่องโหว่นี้ต้องการ local access (ไม่สามารถโจมตีจากระยะไกลได้โดยตรง) แต่ในสถานการณ์ที่ผู้โจมตีเจาะเข้าระบบได้แล้วผ่านช่องทางอื่น (เช่น web shell หรือ compromised container) ช่องโหว่นี้จะกลายเป็นเครื่องมือยกระดับสิทธิ์ที่ทรงพลัง\nคำแนะนำ อัปเดตเคอร์เนล Linux เป็นเวอร์ชันที่แพตช์แล้วโดยเร็ว ตรวจสอบ Kubernetes nodes ว่าใช้เคอร์เนลรุ่นที่ได้รับผลกระทบหรือไม่ ใช้ seccomp และ AppArmor/SELinux เพื่อจำกัดสิทธิ์ของ containers ติดตาม advisories จาก distribution ที่ใช้งาน (Ubuntu USN, RHSA, DSA) แหล่งอ้างอิง The Hacker News — New Fragnesia Linux Kernel LPE Microsoft Security Blog — CVE-2026-31431 Copy Fail Vulnerability ","permalink":"https://cloudthunder.app/posts/006/","summary":"พบช่องโหว่ CVE-2026-46300 (CVSS 7.8) ใน Linux Kernel ชื่อรหัส Fragnesia อยู่ใน XFRM ESP-in-TCP subsystem ผู้โจมตีที่มีสิทธิ์ local สามารถยกระดับเป็น root ได้ กระทบ Linux distributions หลักและ Kubernetes clusters จำนวนมาก — แพตช์พร้อมใช้แล้ว","title":"Fragnesia — ช่องโหว่ใหม่ใน Linux Kernel ยกระดับสิทธิ์เป็น Root ผ่าน Page Cache Corruption"},{"content":"สรุปสั้น เมื่อวันที่ 14 พฤษภาคม 2569 Microsoft ออกคำเตือนเรื่องช่องโหว่ CVE-2026-42897 ที่มีคะแนน CVSS 8.1 ระดับ High กระทบ Microsoft Exchange Server ทุกเวอร์ชันที่ติดตั้งแบบ On-Premises ได้แก่ Exchange 2016, Exchange 2019 และ Exchange Server SE ช่องโหว่ประเภท Cross-Site Scripting (XSS) นี้ถูกใช้โจมตีจริงในธรรมชาติแล้ว (actively exploited in the wild) ผู้โจมตีส่งอีเมลที่สร้างขึ้นเป็นพิเศษไปยังเหยื่อ หากเหยื่อเปิดอีเมลผ่าน Outlook Web Access (OWA) จะถูกรัน JavaScript อันตรายในเบราว์เซอร์ทันที ช่องโหว่นี้ปรากฏเพียง 2 วันหลัง Patch Tuesday เดือนพฤษภาคม ซึ่งแพตช์ 138 ช่องโหว่แต่ไม่ครอบคลุม CVE นี้ ปัจจุบัน ยังไม่มีแพตช์แก้ไข — Microsoft เผยแพร่เฉพาะมาตรการ mitigation ชั่วคราว 2 แนวทาง\nรายละเอียดช่องโหว่ ช่องโหว่เกิดจาก Improper Neutralization of Input During Web Page Generation ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถทำ spoofing ผ่านเครือข่ายได้ เงื่อนไขการโจมตีมีดังนี้:\nผู้โจมตีส่งอีเมลที่มี payload XSS ไปยังกล่องจดหมายของเหยื่อ เหยื่อเปิดอีเมลผ่าน Outlook Web Access (OWA) บนเบราว์เซอร์ เมื่อเงื่อนไขการโต้ตอบบางอย่างตรง JavaScript จะรันในบริบทของเซสชัน OWA ทันที ผู้โจมตีสามารถขโมย session token, อ่านอีเมลอื่น หรือดำเนินการในนามของเหยื่อได้ ข้อสำคัญ: Exchange Online ไม่ได้รับผลกระทบ — กระทบเฉพาะ On-Premises เท่านั้น\nเวอร์ชันที่ได้รับผลกระทบ เวอร์ชัน สถานะ Exchange Server 2016 (ทุก CU) ได้รับผลกระทบ Exchange Server 2019 (ทุก CU) ได้รับผลกระทบ Exchange Server SE ได้รับผลกระทบ Exchange Online (Microsoft 365) ไม่ได้รับผลกระทบ มาตรการ Mitigation ชั่วคราว เนื่องจากยังไม่มีแพตช์ Microsoft แนะนำ 2 แนวทาง:\nจำกัดการเข้าถึง OWA — ปิดการใช้งาน Outlook Web Access ชั่วคราว หรือจำกัดให้เข้าถึงจาก VPN / เครือข่ายภายในเท่านั้น เพิ่มกฎ Transport Rule — สร้างกฎกรองอีเมลเพื่อตรวจจับและบล็อก payload ที่น่าสงสัยก่อนถึงกล่องจดหมาย ผลกระทบต่อไทย Exchange Server On-Premises ยังเป็นโครงสร้างพื้นฐานอีเมลหลักของหน่วยงานราชการ สถาบันการเงิน และองค์กรขนาดใหญ่ในประเทศไทย เนื่องจากข้อกำหนดด้าน data residency ทำให้หลายหน่วยงานยังไม่ย้ายไป Exchange Online\nช่องโหว่นี้ถูกโจมตีจริงแล้วและยังไม่มีแพตช์ ผู้ดูแลระบบควรตรวจสอบ OWA logs เพื่อหาสัญญาณการโจมตี และพิจารณาปิด OWA ชั่วคราวจนกว่า Microsoft จะออกแพตช์\nแหล่งอ้างอิง Microsoft Security Advisory — CVE-2026-42897 The Hacker News — On-Prem Microsoft Exchange Server CVE-2026-42897 BleepingComputer — Microsoft warns of Exchange zero-day ","permalink":"https://cloudthunder.app/posts/003/","summary":"Microsoft เตือนช่องโหว่ Zero-Day CVE-2026-42897 (CVSS 8.1) ใน Exchange Server ถูกใช้โจมตีจริงแล้ว ผู้โจมตีส่งอีเมลปลอมเพื่อรัน JavaScript บน OWA — กระทบ Exchange 2016, 2019 และ SE ที่ติดตั้ง On-Prem ทั้งหมด ยังไม่มีแพตช์แก้ไข มีเพียง mitigation ชั่วคราว","title":"Microsoft Exchange Server Zero-Day ถูกโจมตีจริง — ยังไม่มีแพตช์ เปิด XSS ผ่านอีเมลปลอม"},{"content":"สรุปสั้น เมื่อวันที่ 14 พฤษภาคม 2569 นักวิจัยจาก Socket และ StepSecurity เตือนเรื่องการโจมตี supply chain ในแพ็กเกจ node-ipc บน npm node-ipc เป็นไลบรารียอดนิยมที่มียอดดาวน์โหลดกว่า 822,000 ครั้งต่อสัปดาห์ ใช้สำหรับ inter-process communication ใน Node.js พบ 3 เวอร์ชันที่ถูกฝังโค้ดอันตราย ได้แก่ 9.1.6, 9.2.3 และ 12.0.1 payload ขนาด 80 KB ที่ถูกอัดบีบ (obfuscated) สามารถขโมย credentials กว่า 90 หมวดหมู่ รวมถึง AWS, Azure, GCP, SSH keys, Kubernetes tokens, GitHub CLI configs และอื่นๆ ข้อมูลที่ถูกขโมยจะถูกบีบอัดเป็น gzip แล้วส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตีที่ปลอมตัวเป็น Azure infrastructure\nวิธีการโจมตี การโจมตีครั้งนี้มีความซับซ้อนสูง:\nไม่ใช้ lifecycle hooks — ไม่พึ่งพา preinstall, install หรือ postinstall scripts ที่เครื่องมือ security ส่วนใหญ่ตรวจจับได้ ฝังเป็น IIFE — payload ถูกเพิ่มเป็น Immediately Invoked Function Expression ท้ายไฟล์ node-ipc.cjs ทำให้ทำงานทันทีเมื่อ import ขโมย domain หมดอายุ — ผู้โจมตียึด domain atlantis-software.net ที่เป็น recovery email ของเจ้าของแพ็กเกจตัวจริง แล้วใช้ reset password เพื่อเข้าถึงบัญชี npm ปลอมตัวเป็น Azure — ข้อมูลถูกส่งออกไปยังเซิร์ฟเวอร์ที่ตั้งชื่อเลียนแบบ Azure infrastructure ข้อมูลที่ถูกขโมย payload สามารถเก็บรวบรวมข้อมูลกว่า 90 หมวดหมู่ ตัวอย่างเช่น:\nAWS credentials และ config files Azure service principal tokens GCP service account keys SSH private keys Kubernetes tokens และ kubeconfig GitHub CLI configs และ tokens Terraform state files (อาจมี secrets) Database passwords Shell history (bash, zsh) Claude AI และ Kiro IDE settings เวอร์ชันที่ปลอดภัย เวอร์ชัน สถานะ node-ipc@9.1.6 อันตราย — ลบทันที node-ipc@9.2.3 อันตราย — ลบทันที node-ipc@12.0.1 อันตราย — ลบทันที node-ipc@9.2.1 ปลอดภัย node-ipc@12.0.0 ปลอดภัย ผลกระทบต่อไทย อุตสาหกรรม tech ในประเทศไทยมีนักพัฒนา Node.js จำนวนมาก โดยเฉพาะบริษัท startup, fintech และ software house ที่ใช้ npm เป็นหลัก node-ipc มียอดดาวน์โหลดสูงมากและถูกใช้เป็น dependency ทั้งทางตรงและทางอ้อม\nนักพัฒนาควรตรวจสอบ package-lock.json ทันทีว่ามีเวอร์ชันที่เป็นอันตรายหรือไม่ และหาก credentials อาจถูกขโมย ควร rotate ทุก key และ token ที่เกี่ยวข้อง\nแหล่งอ้างอิง The Hacker News — Stealer Backdoor Found in 3 Node-IPC Versions Socket — node-ipc Package Compromised Datadog Security Labs — node-ipc npm Malware Analysis ","permalink":"https://cloudthunder.app/posts/004/","summary":"พบ backdoor ใน node-ipc 3 เวอร์ชัน (9.1.6, 9.2.3, 12.0.1) แพ็กเกจ npm ที่มียอดดาวน์โหลด 822K ต่อสัปดาห์ payload ขโมย credentials กว่า 90 หมวด รวม AWS, Azure, SSH keys และ GitHub tokens — นักพัฒนาควรตรวจสอบและลบเวอร์ชันที่เป็นอันตรายทันที","title":"node-ipc Supply Chain Attack — แพ็กเกจ npm ยอดนิยมถูกฝัง Stealer ขโมยข้อมูล Cloud Credentials"},{"content":"สรุปสั้น เมื่อวันที่ 11 พฤษภาคม 2569 GitHub เผยแพร่ advisory สำหรับ PraisonAI เฟรมเวิร์ก multi-agent orchestration แบบ open source ช่องโหว่ CVE-2026-44338 มีคะแนน CVSS 7.3 เป็นปัญหา missing authentication ที่เปิดให้ใครก็ตามเข้าถึง API endpoints ที่ควรถูกป้องกัน สิ่งที่น่าตกใจคือ ภายใน 3 ชั่วโมง 44 นาที หลัง advisory ถูกเผยแพร่ (13:56 UTC) มีการสแกน endpoint ที่มีช่องโหว่จริงจากอินเทอร์เน็ต (17:40 UTC) สแกนเนอร์ใช้ User-Agent ว่า CVE-Detector/1.0 เจาะจงไปที่ endpoint /chat และ /agents โดยตรง ช่องโหว่กระทบ PraisonAI ตั้งแต่เวอร์ชัน 2.5.6 ถึง 4.6.33 — แก้ไขแล้วในเวอร์ชัน 4.6.34\nรายละเอียดช่องโหว่ PraisonAI ใช้ legacy Flask API server (src/praisonai/api_server.py) ที่มีปัญหาดังนี้:\nAUTH_ENABLED = False เป็นค่าเริ่มต้น (hard-coded) AUTH_TOKEN = None — ไม่มี token ป้องกัน ใครที่เข้าถึง network ของเซิร์ฟเวอร์ได้ สามารถเรียก /agents เพื่อดู workflow ทั้งหมด เรียก /chat เพื่อ trigger agent workflows ที่กำหนดใน agents.yaml ได้โดยไม่ต้องยืนยันตัวตน Timeline การโจมตี เวลา (UTC) เหตุการณ์ 11 พ.ค. 13:56 GitHub เผยแพร่ advisory GHSA-6rmh-7xcm-cpxj 11 พ.ค. 17:40 สแกนเนอร์ CVE-Detector/1.0 เริ่ม probe endpoint ที่มีช่องโหว่ ภายใน 24 ชม. พบการสแกนจากหลาย IP ทั่วโลก ระยะเวลาระหว่างเปิดเผยช่องโหว่ถึงการโจมตี เหลือเพียงไม่กี่ชั่วโมง สะท้อนว่าผู้โจมตีมีระบบอัตโนมัติในการติดตาม advisory ใหม่แบบ real-time\nผลกระทบต่อไทย ประเทศไทยกำลังอยู่ในช่วง AI adoption อย่างรวดเร็ว หลายองค์กรทดลองใช้ AI agent frameworks รวมถึง PraisonAI เพื่อ automate งานภายใน\nช่องโหว่นี้เป็นตัวอย่างสำคัญของ ความเสี่ยงจากเครื่องมือ AI ที่ deploy โดยไม่ตรวจสอบ security — การเปิด API server โดยไม่มี authentication เป็นปัญหาที่พบบ่อยใน AI tools ยุคแรก ผู้ดูแลระบบควรตรวจสอบ AI services ทุกตัวที่เปิดใช้งานว่ามี authentication ที่เหมาะสม\nคำแนะนำ อัปเกรดเป็น PraisonAI 4.6.34 หรือใหม่กว่าทันที ตรวจสอบ logs ของ API server ว่ามีการเข้าถึงจาก IP ภายนอกหรือไม่ ไม่ควรเปิด AI agent API ให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง ใช้ reverse proxy + authentication สำหรับ AI services ทุกตัว แหล่งอ้างอิง The Hacker News — PraisonAI CVE-2026-44338 Auth Bypass Sysdig — PraisonAI Authentication Bypass Analysis SecurityWeek — Hackers Targeted PraisonAI Hours After Disclosure ","permalink":"https://cloudthunder.app/posts/005/","summary":"ช่องโหว่ CVE-2026-44338 (CVSS 7.3) ใน PraisonAI เฟรมเวิร์ก Multi-Agent ถูกสแกนและโจมตีจริงภายใน 3 ชั่วโมง 44 นาทีหลังเผยแพร่ — API server ปิด auth เป็นค่าเริ่มต้น ใครก็เรียกใช้ agent workflows ได้ ผู้ใช้ควรอัปเกรดเป็น 4.6.34 ทันที","title":"PraisonAI Auth Bypass ถูกโจมตีภายใน 4 ชั่วโมงหลังเปิดเผย — เตือนภัยเครื่องมือ AI ที่เปิด API ไม่มี Auth"},{"content":"สรุปสั้น เมื่อวันที่ 14 พฤษภาคม 2569 Cisco ออกแพตช์แก้ไขช่องโหว่ CVE-2026-20182 ซึ่งมีคะแนนความรุนแรงสูงสุด CVSS 10.0 กระทบ Cisco Catalyst SD-WAN Controller (เดิมคือ vSmart) และ Cisco Catalyst SD-WAN Manager (เดิมคือ vManage) โดย Cisco ยืนยันว่าพบ การโจมตีจริงในวงจำกัด ตั้งแต่เดือนพฤษภาคม 2569 ช่องโหว่นี้เปิดให้ผู้โจมตีข้ามการยืนยันตัวตนผ่านบริการ vdaemon (พอร์ต DTLS/UDP 12346) ได้ทั้งหมด เมื่อเจาะสำเร็จจะได้สิทธิ์ระดับ Admin สามารถเข้าถึง NETCONF และเปลี่ยนแปลง configuration เครือข่าย SD-WAN ได้ตามต้องการ ช่องโหว่นี้ถูกค้นพบโดยทีม Rapid7 และกระทบทุกรูปแบบ deployment ทั้ง On-Prem, Cloud-Pro, Cloud Managed และ FedRAMP\nช่องโหว่คืออะไร ช่องโหว่อยู่ในกลไก peering authentication ของ SD-WAN Controller ผู้โจมตีจากระยะไกลที่ไม่ต้องยืนยันตัวตน สามารถส่ง request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังบริการ vdaemon ผ่านพอร์ต DTLS (UDP 12346) เพื่อ:\nข้ามการยืนยันตัวตนทั้งหมด เข้าสู่ระบบในฐานะบัญชีผู้ใช้ภายในที่มีสิทธิ์สูง เข้าถึง NETCONF เพื่อเปลี่ยนแปลง configuration ของเครือข่าย SD-WAN ทั้งหมด ช่องโหว่นี้ถูกค้นพบโดยทีม Rapid7 และเป็นคนละจุดกับ CVE-2026-20127 ที่เคยพบก่อนหน้านี้ แม้จะอยู่ใน component เดียวกัน\nระบบที่ได้รับผลกระทบ Cisco Catalyst SD-WAN Controller / Manager ทุกรูปแบบการ deploy ได้แก่ On-Prem, Cloud-Pro, Cloud (Cisco Managed) และ Government (FedRAMP) ผลกระทบต่อไทย Cisco SD-WAN เป็นโซลูชันเครือข่ายที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่และหน่วยงานรัฐของไทย ทั้งธนาคาร โทรคมนาคม และหน่วยงานโครงสร้างพื้นฐานสำคัญ หากระบบ SD-WAN Controller เปิดให้เข้าถึงจากอินเทอร์เน็ต ความเสี่ยงจะสูงมาก เพราะผู้โจมตีสามารถเข้าควบคุมการตั้งค่าเครือข่ายทั้งหมดได้\nคำแนะนำเร่งด่วน อัปเดตแพตช์ทันที จาก Cisco Security Advisory ตรวจสอบ log ที่ /var/log/auth.log ว่ามี Accepted publickey for vmanage-admin จาก IP ที่ไม่รู้จักหรือไม่ ตรวจสอบ peering event ที่ผิดปกติ เช่น peer connection จาก IP แปลก หรือเกิดขึ้นในเวลาที่ไม่ปกติ จำกัดการเข้าถึง พอร์ต UDP 12346 จากอินเทอร์เน็ต อ้างอิง The Hacker News — Cisco Catalyst SD-WAN Controller Auth Bypass Cisco Security Advisory Rapid7 Blog ","permalink":"https://cloudthunder.app/posts/002/","summary":"Cisco เปิดเผยช่องโหว่ CVE-2026-20182 ระดับวิกฤต (CVSS 10.0) ใน Catalyst SD-WAN Controller ที่ถูกใช้โจมตีจริงแล้ว ผู้โจมตีสามารถข้ามการยืนยันตัวตนและได้สิทธิ์ Admin ควบคุมเครือข่ายทั้งหมด — ผู้ดูแลระบบควรแพตช์ทันที","title":"Cisco SD-WAN Controller ถูกโจมตีจริงแล้ว — ช่องโหว่ข้ามยืนยันตัวตน CVSS 10.0"},{"content":"สรุปสั้น เมื่อวันที่ 14 พฤษภาคม 2569 นักวิจัยจาก depthfirst เปิดเผยช่องโหว่ร้ายแรงใน NGINX ที่ซ่อนตัวอยู่โดยไม่ถูกตรวจพบมานานถึง 18 ปี ช่องโหว่ CVE-2026-42945 หรือรหัสชื่อ NGINX Rift มีคะแนน CVSS v4 สูงถึง 9.2 เป็นปัญหา heap buffer overflow ใน ngx_http_rewrite_module ที่เปิดโอกาสให้ผู้โจมตีจากระยะไกลรันโค้ดอันตราย (RCE) หรือทำให้ระบบล่ม (DoS) ได้ ผู้โจมตีไม่จำเป็นต้องยืนยันตัวตน เพียงส่ง HTTP request ที่สร้างขึ้นเป็นพิเศษเพียงครั้งเดียวก็สามารถเจาะระบบได้ กระทบ NGINX Open Source ตั้งแต่เวอร์ชัน 0.6.27 จนถึง 1.30.0 และ NGINX Plus ตั้งแต่ R32 ถึง R36 F5 ได้ออกแพตช์แก้ไขแล้วใน NGINX Open Source 1.30.1 / 1.31.0 และ NGINX Plus R32 P6 / R36 P4\nรายละเอียดช่องโหว่ ช่องโหว่เกิดขึ้นเมื่อ NGINX config ใช้ rewrite directive ร่วมกับ directive อื่น (rewrite, if, หรือ set) และมีการใช้ unnamed PCRE capture (เช่น $1, $2) ร่วมกับ replacement string ที่มีเครื่องหมายคำถาม (?)\nสิ่งที่ทำให้ช่องโหว่นี้อันตรายอย่างยิ่ง:\nไม่ต้องยืนยันตัวตน — ส่ง HTTP request เพียงครั้งเดียวก็โจมตีได้ ควบคุมข้อมูลที่เขียนทับได้ — byte ที่ overflow มาจาก URI ของผู้โจมตี ทำให้ไม่ใช่การ corrupt แบบสุ่ม ทำให้ระบบล่มต่อเนื่องได้ — ส่ง request ซ้ำเพื่อให้ worker process crash loop ทำให้เว็บไซต์ทุกแห่งบน instance นั้นใช้งานไม่ได้ ระบบที่ได้รับผลกระทบ ผลิตภัณฑ์ เวอร์ชันที่กระทบ แพตช์ NGINX Plus R32 – R36 R32 P6, R36 P4 NGINX Open Source 1.0.0 – 1.30.0 1.30.1, 1.31.0 NGINX Open Source (เก่า) 0.6.27 – 0.9.7 ไม่มีแผนแก้ไข NGINX Ingress Controller 3.5.0 – 5.4.1 มีแพตช์แล้ว NGINX Gateway Fabric 1.3.0 – 2.5.1 มีแพตช์แล้ว นอกจากนี้ยังมีช่องโหว่อื่นที่ได้รับการแก้ไขพร้อมกัน ได้แก่ CVE-2026-42946 (CVSS 8.3), CVE-2026-40701 (CVSS 6.3) และ CVE-2026-42934 (CVSS 6.3)\nผลกระทบต่อไทย NGINX เป็นเว็บเซิร์ฟเวอร์และ reverse proxy ที่ได้รับความนิยมสูงสุดอันดับต้นของโลก ในประเทศไทยมีการใช้งานอย่างแพร่หลายทั้งในภาครัฐและเอกชน ตั้งแต่เว็บไซต์ e-commerce, ระบบ API gateway, ไปจนถึง load balancer ของระบบสำคัญ เนื่องจากช่องโหว่นี้โจมตีได้จากระยะไกลโดยไม่ต้องมีสิทธิ์ใด ๆ และมีอยู่มานาน 18 ปี จึงมีโอกาสสูงมากที่ระบบที่ยังไม่อัปเดตจะตกเป็นเป้าหมาย\nคำแนะนำเร่งด่วน อัปเดต NGINX เป็นเวอร์ชันล่าสุดทันที (Open Source 1.30.1+ หรือ Plus R32 P6 / R36 P4) หากยังอัปเดตไม่ได้ ให้แก้ config โดยเปลี่ยน unnamed capture ($1, $2) เป็น named capture ในทุก rewrite directive ที่เข้าเงื่อนไข ตรวจสอบ ว่า NGINX config ของคุณมีรูปแบบ rewrite ... $1 ... ? หรือไม่ ติดตามประกาศจาก F5 Security Advisory อ้างอิง The Hacker News — 18-Year-Old NGINX Rewrite Module Flaw F5 Security Advisory K000161019 depthfirst — NGINX Rift ","permalink":"https://cloudthunder.app/posts/001/","summary":"พบช่องโหว่วิกฤต CVE-2026-42945 (CVSS 9.2) ใน NGINX rewrite module ที่ซ่อนอยู่นาน 18 ปี ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ด้วย HTTP request เพียงครั้งเดียว — ผู้ดูแลเว็บเซิร์ฟเวอร์ควรอัปเดตทันที","title":"NGINX Rift — ช่องโหว่อายุ 18 ปี เปิดทาง RCE โดยไม่ต้องยืนยันตัวตน"},{"content":"เขียน Markdown ใน Obsidian แล้วบันทึกไฟล์ในโฟลเดอร์ content/posts/ — Hugo จะสร้างหน้าเว็บให้อัตโนมัติ\nลิงก์แบบ Obsidian [[Welcome]] จะไม่ถูก Hugo แปลงอัตโนมัติ — บนเว็บให้ใช้ Markdown ลิงก์ปกติหรือ relref ไปยังไฟล์ใน content/ ตาม เอกสาร Hugo.\n","permalink":"https://cloudthunder.app/posts/hello-obsidian/","summary":"บันทึกแรกจาก vault เดียวกับที่ใช้เขียนใน Obsidian","title":"เริ่มจาก Obsidian"}]