สรุปสั้น

มีการเปิดเผยช่องโหว่หลายรายการใน IBM WebSphere Application Server ที่อาจเปิดทางให้ผู้โจมตีทำการโจมตีแบบ cross-site scripting (XSS) และ path traversal ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลอ่อนไหวและการเจาะสภาพแวดล้อมการบริหารจัดการ ช่องโหว่เหล่านี้ส่งผลกระทบต่อ WebSphere Application Server เวอร์ชัน 8.5 และ 9.0 ที่มีการใช้งานอย่างแพร่หลาย จึงสร้างความกังวลให้แก่องค์กรที่พึ่งพาแพลตฟอร์มนี้ในการรันงานสำคัญ ตามประกาศด้านความปลอดภัยของบริษัท IBM ที่เผยแพร่เมื่อวันที่ 30 มิถุนายน 2026 ระบุว่าช่องโหว่ทั้งสามรายการ ได้แก่ CVE-2026-11712, CVE-2026-11708 และ CVE-2026-11595 ล้วนกระทบต่อระบบ integrated help ที่อยู่ในคอนโซลผู้ดูแลระบบ (administrative console)

องค์ประกอบเหล่านี้มักถูกมองข้ามในการประเมินความปลอดภัย แต่กลับกลายเป็นจุดเริ่มต้นให้ผู้โจมตีได้เมื่อการตรวจสอบ input ไม่ได้ถูกบังคับใช้อย่างเหมาะสม ช่องโหว่ที่รุนแรงที่สุดสองรายการคือ CVE-2026-11712 และ CVE-2026-11708 เป็นช่องโหว่ XSS (CWE-79) ที่มีคะแนน CVSS สูงถึง 9.3 บ่งชี้ความรุนแรงระดับวิกฤต ส่วน CVE-2026-11595 เป็นช่องโหว่ path traversal (CWE-22) คะแนน CVSS 4.3 ระดับปานกลาง โดย IBM ไม่ได้จัดเตรียม workaround ใด ๆ ทำให้การแพตช์เป็นมาตรการบรรเทาที่ได้ผลเพียงทางเดียว

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า บริษัท IBM ได้เผยแพร่ประกาศด้านความปลอดภัยเมื่อวันที่ 30 มิถุนายน 2026 เปิดเผยช่องโหว่สามรายการที่ส่งผลต่อระบบ integrated help ในคอนโซลผู้ดูแลระบบของ WebSphere Application Server ช่องโหว่ที่รุนแรงที่สุดคือ CVE-2026-11712 และ CVE-2026-11708 ซึ่งเป็นช่องโหว่ cross-site scripting ทั้งคู่ได้คะแนน CVSS สูงถึง 9.3 ช่องโหว่เหล่านี้เกิดจากการทำ neutralization ของ input ที่ผู้ใช้ป้อนอย่างไม่เหมาะสมระหว่างการสร้างหน้าเว็บ ผู้โจมตีสามารถใช้ประโยชน์ได้ด้วยการหลอกให้ผู้ใช้ที่ผ่านการยืนยันตัวตนแล้ว (authenticated) คลิกลิงก์ที่ถูกสร้างขึ้นมาเป็นพิเศษ

เมื่อถูกกระตุ้น สคริปต์อันตรายจะสามารถทำงานภายในเซสชันเบราว์เซอร์ของเหยื่อ ซึ่งอาจเปิดทางให้ผู้โจมตีขโมยเซสชัน (session hijacking) แก้ไขเนื้อหาที่แสดง หรือทำการต่าง ๆ ด้วยสิทธิ์ของผู้ใช้รายนั้น แม้ว่าการโจมตีจะต้องอาศัยการกระทำจากผู้ใช้ (user interaction) แต่ผลกระทบยังคงมีนัยสำคัญเนื่องจากธรรมชาติของอินเทอร์เฟซที่เป็นระบบบริหารจัดการ หากผู้ดูแลระบบถูกเจาะ ผู้โจมตีอาจได้สิทธิ์เข้าถึงระดับสูงต่อการตั้งค่าแอปพลิเคชันและข้อมูลการปฏิบัติงานที่อ่อนไหว

รายละเอียดช่องโหว่

ช่องโหว่รายการที่สาม CVE-2026-11595 เป็นปัญหา path traversal ที่จัดอยู่ในประเภท CWE-22 มีคะแนน CVSS 4.3 ระดับความรุนแรงปานกลาง ช่องโหว่นี้เปิดทางให้ผู้โจมตีระยะไกลเข้าถึงไฟล์ที่ถูกจำกัดได้ด้วยการปรับแต่ง input ที่เป็น file path ภายในระบบ help โดยการใช้ลำดับอักขระ directory traversal ผู้โจมตีอาจดึงข้อมูลอ่อนไหวที่จัดเก็บอยู่บนเซิร์ฟเวอร์ออกมา ซึ่งอาจช่วยในการโจมตีขั้นต่อไปหรือการลาดตระเวนหาข้อมูล ช่องโหว่ทั้งสามรายการกระทบเฉพาะระบบ integrated help ภายในคอนโซลผู้ดูแลของ WebSphere ซึ่งตอกย้ำให้เห็นว่าองค์ประกอบเสริม (auxiliary components) สามารถก่อความเสี่ยงด้านความปลอดภัยได้หากไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม แม้ช่องโหว่ path traversal จะมีระดับความรุนแรงต่ำกว่า แต่ก็ยังสามารถเป็นส่วนหนึ่งของห่วงโซ่การโจมตีที่กว้างขึ้นได้เมื่อผสมกับจุดอ่อนอื่น ๆ

บริษัท IBM ไม่ได้จัดเตรียม workaround ใด ๆ สำหรับช่องโหว่เหล่านี้ ทำให้การแพตช์เป็นกลยุทธ์บรรเทาผลกระทบที่ได้ผลเพียงทางเดียว โดย IBM แนะนำอย่างยิ่งให้ลูกค้าติดตั้ง interim fix หรืออัปเกรดไปยัง fix pack ล่าสุดที่แก้ปัญหาตาม APAR PH71756 สำหรับ WebSphere Application Server เวอร์ชัน 9.0 ให้อัปเกรดเป็น Fix Pack 9.0.5.29 หรือใหม่กว่า และสำหรับผู้ใช้เวอร์ชัน 8.5 ให้ติดตั้ง Fix Pack 8.5.5.31 หรือใหม่กว่าเมื่อพร้อมใช้งาน นอกจากนี้ยังมี interim fix สำหรับเวอร์ชันเก่าที่ยังได้รับการสนับสนุนด้วย อย่างไรก็ตามผู้ดูแลระบบต้องปฏิบัติตามคำแนะนำหลังการติดตั้งอย่างระมัดระวังเพื่อให้การแก้ไขสมบูรณ์

ผลกระทบต่อไทย

IBM WebSphere Application Server เป็นแพลตฟอร์ม application server ระดับองค์กรที่ใช้งานอย่างแพร่หลายในไทย โดยเฉพาะในภาคธนาคาร สถาบันการเงิน ประกันภัย และหน่วยงานภาครัฐขนาดใหญ่ที่รันแอปพลิเคชัน Java EE สำหรับงานหลัก (mission-critical) ช่องโหว่เหล่านี้อยู่ที่คอนโซลผู้ดูแลระบบซึ่งเป็นจุดควบคุมหัวใจสำคัญ หากผู้ดูแลถูกหลอกให้คลิกลิงก์อันตรายจนถูกเจาะด้วย XSS ผู้โจมตีอาจยึดเซสชันและเข้าถึงการตั้งค่าและข้อมูลการปฏิบัติงานที่อ่อนไหวได้ ซึ่งในบริบทของระบบธนาคารหรือระบบราชการถือเป็นความเสี่ยงที่สูงมาก แม้การโจมตีจะต้องอาศัยการหลอกผู้ดูแลที่ล็อกอินอยู่ให้คลิกลิงก์ แต่เทคนิค social engineering ที่เจาะจงผู้ดูแลระบบก็เกิดขึ้นได้จริง องค์กรไทยที่ยังใช้ WebSphere เวอร์ชัน 8.5 และ 9.0 จึงควรเร่งประเมินและอัปเดตแพตช์โดยเร็ว โดยเฉพาะระบบที่เปิดคอนโซลผู้ดูแลให้เข้าถึงได้จากเครือข่ายภายในหรือภายนอก

คำแนะนำ

ทีมความปลอดภัยควรจัดลำดับความสำคัญในการแพตช์เนื่องจากความรุนแรงระดับสูงของช่องโหว่ XSS และความเสี่ยงที่อินเทอร์เฟซการบริหารจัดการจะถูกเปิดเผย สำหรับ WebSphere Application Server เวอร์ชัน 9.0 ให้อัปเกรดเป็น Fix Pack 9.0.5.29 หรือใหม่กว่า และเวอร์ชัน 8.5 ให้ติดตั้ง Fix Pack 8.5.5.31 หรือใหม่กว่า หรือติดตั้ง interim fix ตาม APAR PH71756 เนื่องจาก IBM ไม่ได้ให้ workaround จึงต้องแพตช์เท่านั้น ควรจำกัดการเข้าถึงคอนโซลผู้ดูแลระบบไม่ให้เปิดเผยโดยไม่จำเป็น และควรเฝ้าตรวจการเข้าถึงคอนโซลผู้ดูแลของ WebSphere เพื่อลดความเสี่ยงในการถูกโจมตี นอกจากนี้ควรให้ความรู้ผู้ดูแลระบบเกี่ยวกับความเสี่ยงของการคลิกลิงก์ที่ไม่น่าเชื่อถือขณะล็อกอินอยู่ในคอนโซล และควรทบทวนว่าองค์ประกอบเสริมอย่างระบบ help ไม่ได้เปิดช่องทางการโจมตีโดยไม่จำเป็น

แหล่งอ้างอิง