สรุปสั้น
บริษัท Adobe ปล่อยแพตช์อุดช่องโหว่ระดับความรุนแรงสูงสุดหลายรายการที่กระทบต่อ Adobe ColdFusion และ Adobe Campaign Classic โดยในฝั่ง ColdFusion เพียงอย่างเดียวมีช่องโหว่ที่ได้คะแนน CVSS เต็ม 10.0 ถึง 6 รายการ ซึ่งส่วนใหญ่เปิดทางให้ผู้โจมตีรันโค้ดใดก็ได้จากระยะไกล (arbitrary code execution) รวมถึงการยกระดับสิทธิ์ การอ่านไฟล์ในระบบ และการข้ามฟีเจอร์ความปลอดภัย ขณะที่ฝั่ง Campaign Classic ก็มีช่องโหว่ระดับ 10.0 อีกหนึ่งรายการที่นำไปสู่การรันโค้ดได้เช่นกัน รวมทั้งหมดเป็นช่องโหว่คะแนนเต็ม 10.0 จำนวน 7 รายการ
Adobe ระบุว่ายังไม่พบการนำช่องโหว่เหล่านี้ไปใช้โจมตีจริงในขณะที่ออกแพตช์ ทั้งนี้การเปิดเผยครั้งนี้มาพร้อมประกาศสำคัญว่า Adobe จะเปลี่ยนจากการออก security bulletin เดือนละครั้ง เป็นเดือนละสองครั้ง คือทุกวันอังคารที่สองและสี่ของเดือน เริ่มตั้งแต่วันที่ 14 กรกฎาคม 2026 เป็นต้นไป โดยให้เหตุผลว่าเป็นผลโดยตรงจากการค้นพบช่องโหว่ที่เร็วขึ้นด้วยการใช้ปัญญาประดิษฐ์ ผู้ดูแลระบบที่ใช้ ColdFusion หรือ Campaign Classic แบบ on-premise จึงควรเร่งอัปเดตทันที
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 1 กรกฎาคม 2026 ว่า บริษัท Adobe ได้ปล่อยแพตช์แก้ไขช่องโหว่ระดับร้ายแรงสูงสุดหลายรายการที่กระทบต่อ Adobe ColdFusion และ Adobe Campaign Classic โดย Adobe ระบุในการแจ้งเตือนที่ออกในวันอังคารว่า การอัปเดต ColdFusion ครั้งนี้ “แก้ไขช่องโหว่ระดับ critical และ important ที่อาจนำไปสู่การรันโค้ดจากระยะไกล การยกระดับสิทธิ์ การอ่านระบบไฟล์ และการข้ามฟีเจอร์ความปลอดภัย”
ในฝั่ง ColdFusion ช่องโหว่ที่ร้ายแรงที่สุดคือกลุ่มที่ได้คะแนน CVSS เต็ม 10.0 ได้แก่ CVE-2026-48276 และ CVE-2026-48283 ซึ่งเป็นช่องโหว่การอัปโหลดไฟล์อันตรายแบบไม่จำกัดประเภทที่นำไปสู่การรันโค้ด, CVE-2026-48277, CVE-2026-48281 และ CVE-2026-48316 ซึ่งเป็นช่องโหว่การตรวจสอบ input ที่ไม่รัดกุมนำไปสู่การรันโค้ด และ CVE-2026-48282 ซึ่งเป็นช่องโหว่ path traversal ที่นำไปสู่การรันโค้ดเช่นกัน นอกจากนี้ยังมี CVE-2026-48313 (CVSS 9.3) ช่องโหว่ path traversal ที่นำไปสู่การอ่านไฟล์ในระบบ และ CVE-2026-48315 (CVSS 9.3) ช่องโหว่การตรวจสอบ input ที่นำไปสู่การยกระดับสิทธิ์
ปัญหาเหล่านี้ได้รับการแก้ไขแล้วใน ColdFusion 2023 Update 21 และ ColdFusion 2025 Update 10 โดยนักวิจัยด้านความปลอดภัย นาย Anirudh Anand, นาย Matan Sandori และทีม 2Bsecure ได้รับเครดิตในการค้นพบและรายงานช่องโหว่ CVE-2026-48283, CVE-2026-48313 และ CVE-2026-48307
รายละเอียดช่องโหว่
นอกเหนือจาก ColdFusion แล้ว Adobe ยังปล่อยแพตช์ปิดช่องโหว่ระดับ critical ใน Adobe Campaign Classic ที่กระทบเวอร์ชัน ACC v7: 7.4.3 build 9396 และเก่ากว่า ทั้งบน Windows และ Linux ซึ่งอาจนำไปสู่การรันโค้ดได้ ช่องโหว่นี้ติดตามในรหัส CVE-2026-48286 (CVSS 10.0) เป็นกรณีของการตรวจสอบสิทธิ์ที่ไม่ถูกต้อง (incorrect authorization) ที่เปิดทางให้ผู้โจมตีรันโค้ดใดก็ได้บนระบบที่ได้รับผลกระทบ โดยได้รับการแก้ไขแล้วในเวอร์ชัน ACC v7: 7.4.3 build 9397
Adobe ระบุว่า CVE-2026-48286 กระทบเฉพาะ Adobe Campaign แบบ on-premise เท่านั้น ทั้งการติดตั้งแบบ on-premise เต็มรูปแบบและส่วนประกอบ on-premise ในการติดตั้งแบบ hybrid ส่วนอินสแตนซ์ที่ Adobe เป็นผู้โฮสต์ให้ได้รับการอัปเดตเรียบร้อยแล้วและไม่ต้องดำเนินการใด ๆ ทั้งนี้ Adobe เน้นย้ำว่ายังไม่พบการโจมตีจริง (exploits in the wild) สำหรับช่องโหว่ทั้งหมดที่แก้ไขในสองการอัปเดตนี้
ที่น่าสนใจคือ การเปิดเผยครั้งนี้เกิดขึ้นพร้อมกับที่ Adobe ประกาศว่าจะเปลี่ยนจากการเผยแพร่ security bulletin และคำแนะนำด้านความปลอดภัยจากเดือนละครั้ง เป็นเดือนละสองครั้ง คือทุกวันอังคารที่สองและสี่ของเดือน เริ่มตั้งแต่วันที่ 14 กรกฎาคม 2026 โดยนาง Aanchal Gupta ประธานเจ้าหน้าที่ฝ่ายความปลอดภัยของ Adobe กล่าวว่า “ความสามารถของ AI ระดับแนวหน้าที่เราใช้อยู่นั้น ผู้โจมตีก็เข้าถึงได้เช่นกัน และช่องว่างระหว่างการเปิดเผยช่องโหว่สู่สาธารณะกับการถูกโจมตีจริงกำลังหดสั้นลงจากหลักวันเหลือหลักชั่วโมง เราจึงนำ AI มาใช้ค้นหาและแก้ไขช่องโหว่ให้ได้ก่อน และการส่งแพตช์ถึงลูกค้าให้เร็วขึ้นคือขั้นตอนถัดไปที่เป็นธรรมชาติ”
ผลกระทบต่อไทย
Adobe ColdFusion เป็นแพลตฟอร์มพัฒนาเว็บแอปพลิเคชันที่หน่วยงานราชการ สถาบันการศึกษา และองค์กรธุรกิจในไทยจำนวนไม่น้อยยังใช้งานอยู่ โดยเฉพาะระบบเก่าที่พัฒนาไว้นานและเปิดให้เข้าถึงจากอินเทอร์เน็ต ช่องโหว่ระดับ CVSS 10.0 ที่นำไปสู่การรันโค้ดจากระยะไกลนั้นอันตรายอย่างยิ่ง เพราะที่ผ่านมา ColdFusion เคยตกเป็นเป้าหมายการโจมตีจริงหลายครั้ง ผู้โจมตีมักสแกนหาเซิร์ฟเวอร์ ColdFusion ที่เปิดสาธารณะและยังไม่แพตช์เพื่อฝัง webshell หรือเรียกค่าไถ่ ส่วน Campaign Classic ก็ใช้ในงานการตลาดอีเมลขององค์กรขนาดใหญ่ ซึ่งหากถูกยึดอาจนำไปสู่การเข้าถึงฐานข้อมูลลูกค้าจำนวนมาก ผู้ดูแลระบบในไทยจึงควรเร่งอัปเดตโดยเฉพาะระบบแบบ on-premise ที่เปิดให้เข้าถึงจากภายนอก
คำแนะนำ
อัปเดต ColdFusion เป็น 2023 Update 21 หรือ 2025 Update 10 และ Campaign Classic เป็น ACC v7: 7.4.3 build 9397 โดยเร็วที่สุด เนื่องจากช่องโหว่ส่วนใหญ่นำไปสู่การรันโค้ดจากระยะไกล ควรจำกัดการเข้าถึงเซิร์ฟเวอร์ ColdFusion และ Campaign Classic จากอินเทอร์เน็ตเท่าที่จำเป็น และวางไว้หลัง WAF หรือ reverse proxy หากต้องเปิดสาธารณะ ตรวจสอบล็อกย้อนหลังหาร่องรอยการอัปโหลดไฟล์ผิดปกติหรือ webshell และเนื่องจาก Adobe เพิ่มความถี่การออกแพตช์เป็นเดือนละสองครั้ง ทีมความปลอดภัยควรปรับรอบการติดตามและติดตั้งแพตช์ให้ถี่ขึ้นตามไปด้วย
