สรุปสั้น

IBM เปิดเผยช่องโหว่ระดับ Critical ใน WebSphere Application Server รหัส CVE-2026-8633 ที่ได้รับคะแนน CVSS สูงถึง 9.8 จาก 10

ช่องโหว่นี้อยู่ใน Web Server Plug-ins ซึ่งเป็นคอมโพเนนต์ optional ที่ใช้ routing requests ระหว่าง web server กับ application server ช่วยให้ผู้โจมตีรันโค้ดได้โดยไม่ต้องยืนยันตัวตน

สาเหตุหลักคือการควบคุม code generation ที่ไม่ถูกต้อง (CWE-94) ทำให้ผู้โจมตีสามารถส่ง HTTP request ที่สร้างขึ้นเป็นพิเศษเพื่อ inject โค้ดอันตรายเข้าระบบ

นอกจาก RCE ช่องโหว่นี้ยังเปิดความเสี่ยงด้าน HTTP request smuggling ซึ่งช่วยให้ผู้โจมตีหลีกเลี่ยงระบบรักษาความปลอดภัยและจัดการ backend communications ได้

กระทบ WebSphere Application Server 8.5 และ 9.0 รวมถึง WebSphere Liberty 8.5 และ 9.0 และ Plug-ins ที่เกี่ยวข้อง IBM แนะนำให้แพตช์ทันทีด้วย interim fix สำหรับ APAR PH71342

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 1 มิถุนายน พ.ศ. 2569 ว่า IBM ได้เปิดเผยช่องโหว่ด้านความปลอดภัยระดับ Critical ใน WebSphere Application Server ecosystem โดยช่องโหว่รหัส CVE-2026-8633 ส่งผลกระทบต่อ environments ที่ใช้ Web Server Plug-ins ซึ่งเป็นคอมโพเนนต์ optional ที่ใช้กันอย่างแพร่หลายในการ deploy WebSphere

ช่องโหว่นี้ได้รับคะแนน CVSS 9.8 สะท้อนระดับความรุนแรง Critical ที่ไม่ต้องการการยืนยันตัวตนและสามารถโจมตีได้จากระยะไกล ผลของการโจมตีที่ประสบความสำเร็จคือการครอบครองระบบอย่างสมบูรณ์ กระทบทั้งความลับ (confidentiality) ความถูกต้อง (integrity) และความพร้อมใช้งาน (availability)

สาเหตุหลักมาจากการควบคุม code generation ที่ไม่ถูกต้อง จัดประเภทอยู่ใน CWE-94 ทำให้ผู้โจมตีสามารถ inject payload อันตรายผ่าน HTTP request ที่สร้างขึ้นเป็นพิเศษ เมื่อ Web Server Plug-ins ประมวลผล request เหล่านั้น จะเกิดการรันโค้ดระยะไกลขึ้น

IBM ได้ออกคำแนะนำการแก้ไขและสนับสนุนให้ดำเนินการทันที โดยแนะนำให้ apply interim fix สำหรับ APAR PH71342 หลังจาก upgrade เป็น fix pack ขั้นต่ำที่กำหนด สำหรับ WebSphere 9.0 ควร upgrade เป็น Fix Pack 9.0.5.28 ขึ้นไป และ WebSphere 8.5 ควร upgrade เป็น Fix Pack 8.5.5.30 ขึ้นไป

เนื่องจาก WebSphere ถูกใช้อย่างแพร่หลายในระบบ enterprise และรัฐบาลทั่วโลก ระดับความเสี่ยงจึงถือว่าสูงมาก โดยเฉพาะในองค์กรที่ใช้ Plug-ins เป็น entry point หลักสู่ระบบ backend

รายละเอียดช่องโหว่

ข้อมูลช่องโหว่:

รายการรายละเอียด
CVE IDCVE-2026-8633
CVSS Score9.8 (Critical)
CWECWE-94 (Improper Control of Code Generation)
Authenticationไม่ต้องการ
Attack VectorNetwork (Remote)
ComplexityLow

เวอร์ชันที่ได้รับผลกระทบ:

  • IBM WebSphere Application Server 8.5 และ 9.0
  • IBM WebSphere Liberty 8.5 และ 9.0
  • IBM Web Server Plug-ins (เวอร์ชันที่เกี่ยวข้อง)

ความเสี่ยงเพิ่มเติม — HTTP Request Smuggling: นอกจาก RCE ช่องโหว่ยังเปิดโอกาสให้โจมตีด้วย HTTP request smuggling ซึ่งช่วยให้ผู้โจมตีหลีกเลี่ยง security controls และจัดการการสื่อสารระหว่าง frontend กับ backend systems

การแก้ไข:

  • Apply interim fix สำหรับ APAR PH71342
  • WebSphere 9.0: upgrade เป็น Fix Pack 9.0.5.28+
  • WebSphere 8.5: upgrade เป็น Fix Pack 8.5.5.30+

ผลกระทบต่อไทย

IBM WebSphere ถูกใช้อย่างแพร่หลายในระบบ enterprise และรัฐบาลของไทย โดยเฉพาะในภาคธนาคาร ประกัน และหน่วยงานราชการที่ใช้ระบบ Java-based enterprise applications

หน่วยงานที่ใช้ WebSphere เป็น middleware หลักสำหรับระบบสำคัญ เช่น ระบบ core banking, ระบบ e-government หรือระบบ ERP มีความเสี่ยงสูงมากหากยังไม่ได้รับการแพตช์

ช่องโหว่ที่ไม่ต้องยืนยันตัวตนและมีคะแนน CVSS 9.8 ทำให้เป็นเป้าหมายที่น่าดึงดูดสำหรับ ransomware groups และ APT actors ที่มุ่งเป้าระบบ enterprise

คำแนะนำ

  1. แพตช์ทันที — Apply interim fix สำหรับ APAR PH71342 ตามคำแนะนำของ IBM และ upgrade Fix Pack ตามเวอร์ชันที่กำหนด
  2. ตรวจสอบว่าใช้ Web Server Plug-ins หรือไม่ — หากไม่ได้ใช้ Plug-ins ให้พิจารณา disable หรือถอนการติดตั้ง
  3. จำกัดการเข้าถึง Plug-in endpoints — ป้องกันไม่ให้ external traffic เข้าถึง WebSphere Plug-in endpoints โดยตรงผ่าน firewall
  4. Monitor HTTP traffic — ตรวจสอบ traffic ที่ผิดปกติ เช่น malformed request หรือ request ที่มีโครงสร้างแปลกประหลาด
  5. เริ่ม Threat Hunting — ตรวจสอบร่องรอยการบุกรุกในระบบที่ได้รับผลกระทบ โดยเฉพาะระบบที่เปิดรับ internet โดยตรง
  6. ติดตั้ง WAF — พิจารณาเพิ่ม Web Application Firewall เพื่อกรอง request อันตรายในระหว่างรอการแพตช์

แหล่งอ้างอิง