สรุปสั้น
Roundcube ซอฟต์แวร์เว็บเมล (webmail) โอเพนซอร์สยอดนิยม ปล่อยเวอร์ชัน 1.7 เพื่ออุดช่องโหว่ด้านความปลอดภัยรวม 6 รายการ โดยจุดที่อันตรายที่สุดคือช่องโหว่ Stored Cross-Site Scripting (XSS) ระดับวิกฤต 2 ตัวที่ทำงานแบบ zero-click คือไม่ต้องให้เหยื่อคลิกหรือดาวน์โหลดอะไรเลย เพียงแค่เปิดอ่านอีเมลตามปกติก็ถูกโจมตีได้ทันที ช่องโหว่ตัวแรก CVE-2026-54432 เกิดจากการที่ Roundcube นำชนิดไฟล์ (MIME type) ของไฟล์แนบมาแสดงบนหน้าเตือนตรวจสอบไฟล์แนบโดยไม่กรองอักขระ ทำให้ผู้โจมตีแทรกโค้ด JavaScript ที่รันทันทีที่หน้าเตือนโหลดขึ้นมา ส่วนตัวที่สอง CVE-2026-54433 อยู่ในเอนจินแสดงข้อความแบบ plain-text ทำให้สคริปต์รันเงียบ ๆ เมื่อเหยื่อเปิดดูข้อความในโหมดข้อความล้วน ซึ่งเป็นโหมดที่ผู้ใช้มักไว้ใจว่าปลอดภัย
ช่องโหว่ทั้งสองถูกค้นพบและรายงานโดยนาย Bohdan Kurinnoy จากบริษัท Samsung R&D Institute Ukraine (SRUKR) และเปิดทางให้ผู้โจมตีขโมย session, ขโมยข้อมูลรับรอง (credential) หรือเข้าถึงกล่องเมลของเหยื่อได้โดยไม่ต้องอาศัยการกระทำใด ๆ นอกเหนือจากการเปิดอ่านอีเมล ทีมพัฒนา Roundcube จึงแนะนำอย่างหนักแน่นให้ผู้ดูแลระบบอัปเดตทุกระบบที่ใช้งานจริงโดยด่วน และให้จัดลำดับความสำคัญเหนือกว่ารอบแพตช์ปกติ เนื่องจากช่องโหว่ประเภท zero-click มีต้นทุนการโจมตีต่ำมากและเว็บเมลเป็นเป้าหมายที่มีมูลค่าสูงสำหรับการขโมยบัญชี
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 9 กรกฎาคม 2569 ว่า Roundcube ได้ออกเวอร์ชัน 1.7 พร้อมคำแนะนำให้ติดตั้งทันทีในทุกสภาพแวดล้อมที่ใช้งานจริง โดยการอัปเดตครั้งนี้แก้ไขช่องโหว่ที่ค้นพบโดยนักวิจัยจากบริษัท Samsung R&D Institute Ukraine ร่วมกับผู้อื่น ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2026-54432 ซึ่งเป็น Stored XSS ที่ถูกกระตุ้นจากชนิดไฟล์ (MIME type) ของไฟล์แนบที่ไม่ได้ถูก escape ก่อนแสดงบนหน้าเตือนตรวจสอบไฟล์แนบ ผู้โจมตีสามารถสร้างสตริง MIME type ที่เป็นอันตราย ซึ่งเมื่อถูกนำมาแสดงโดยไม่ผ่านการกรอง จะสั่งรันโค้ด JavaScript ใน session ของเหยื่อได้ทันที
เนื่องจาก payload ทำงานตั้งแต่ตอนที่หน้าเตือนถูกโหลดขึ้นมา จึงไม่จำเป็นต้องมีการคลิกหรือดาวน์โหลดใด ๆ ทำให้เป็นช่องทางโจมตีแบบ zero-click อย่างแท้จริง ส่วนช่องโหว่ที่เกี่ยวข้องกันอย่าง CVE-2026-54433 กระทบเอนจินการแสดงผลแบบ plain-text ของ Roundcube โดยเป็น zero-click stored XSS ที่ให้ผู้โจมตีฝังสคริปต์อันตรายลงในอีเมล ซึ่งจะรันเงียบ ๆ เมื่อเหยื่อเพียงแค่เปิดดูข้อความในโหมดข้อความล้วน เลี่ยงสัญญาณเตือนทางสายตาที่ผู้ใช้มักใช้สังเกตเนื้อหาน่าสงสัย ทั้งสองช่องโหว่รายงานโดยนาย Bohdan Kurinnoy จาก Samsung R&D Institute Ukraine สะท้อนว่าแพลตฟอร์มเว็บเมลยังเป็นเป้าหมายมูลค่าสูงสำหรับการขโมย credential และยึด session อย่างต่อเนื่อง
รายละเอียดช่องโหว่
นอกจาก XSS สองตัวข้างต้น Roundcube 1.7 ยังแก้ปัญหาอื่นอีกหลายรายการ ได้แก่ ช่องโหว่ infinite loop ในตัวถอดรหัส TNEF (winmail.dat) ที่อาจทำให้เกิดสภาวะปฏิเสธการให้บริการ (Denial-of-Service หรือ DoS) รายงานโดยผู้ใช้ชื่อ stafra, ช่องโหว่หลายรายการในปลั๊กอิน password ที่มีต้นตอจากการฉีดชื่อผู้ใช้ผ่าน session รายงานโดย Glendaenri และ peppersghost, กรณีการเลี่ยง SSRF ใหม่ 2 แบบที่เกี่ยวกับ URL ที่ชี้ไปยัง local address เฉพาะทาง ค้นพบโดย Leenear และช่องโหว่ DoS อีกตัวที่ถูกกระตุ้นด้วยค่าขนาดของ compressed-RTF ที่ปลอมแปลงภายในไฟล์แนบ TNEF รายงานโดย h0rk1p
การอัปเดตยังรวมการแก้ไขด้านเสถียรภาพหลายจุด เช่น การจัดการคำขอ HEAD ใน static.php ให้ถูกต้อง, แก้ตรรกะการดึงค่า OAuth password claim, แก้ข้อผิดพลาด 416 กับคำขอ Range บางแบบ และแก้ปัญหาการโหลดโลโก้ธีมที่ไม่ทำงาน รวมถึงบั๊กการนำเข้า vCard 2.1, การรั่วไหลของไฟล์ชั่วคราวใน Imagick เมื่อเกิดข้อผิดพลาด และการอัปเดต session ที่มากเกินไปในการตั้งค่าแบบ Redis/Memcache เนื่องจาก XSS ทั้งสองตัวเป็นแบบ zero-click ผู้ที่โจมตี CVE-2026-54432 หรือ CVE-2026-54433 สำเร็จจะสามารถยึด session, ขโมย credential หรือเข้าถึงกล่องเมลโดยไม่ได้รับอนุญาต โดยเหยื่อไม่ต้องทำอะไรเกินกว่าการเปิดอ่านอีเมลตามปกติ
ผลกระทบต่อไทย
Roundcube เป็นเว็บเมลโอเพนซอร์สที่ได้รับความนิยมสูงในไทย โดยเฉพาะในหน่วยงานราชการ สถาบันการศึกษา ผู้ให้บริการโฮสติงและองค์กรขนาดกลาง-เล็กที่ตั้งเซิร์ฟเวอร์เมลของตนเอง (self-hosted) เพื่อประหยัดต้นทุนแทนการใช้บริการคลาวด์ ระบบเหล่านี้จำนวนมากเปิดให้เข้าถึงจากอินเทอร์เน็ตโดยตรงและมักอัปเดตช้า จึงมีความเสี่ยงสูงต่อการถูกโจมตีแบบ zero-click ซึ่งผู้โจมตีเพียงส่งอีเมลที่สร้างขึ้นเป็นพิเศษเข้ามา ก็สามารถยึด session ผู้ดูแลระบบหรือผู้ใช้ทั่วไปได้โดยที่เหยื่อไม่ต้องคลิกอะไรเลย เมื่อยึดบัญชีอีเมลได้แล้ว ผู้โจมตีมักต่อยอดไปสู่การรีเซ็ตรหัสผ่านบริการอื่น การหลอกลวงทางธุรกิจ (Business Email Compromise) และการขโมยข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ผู้ดูแลเว็บเมล Roundcube ในไทยจึงควรถือว่าการอัปเดตครั้งนี้เป็นงานเร่งด่วน
คำแนะนำ
ผู้ดูแลระบบควรอัปเดต Roundcube เป็นเวอร์ชัน 1.7 ทุกระบบที่ใช้งานจริงโดยด่วน โดยเฉพาะระบบที่เปิดให้ผู้ใช้ภายนอกเข้าถึง และควรสำรองข้อมูล (backup) ให้ครบถ้วนก่อนติดตั้งแพตช์ตามที่คำแนะนำของ Roundcube ระบุไว้ ควรตรวจสอบ log การเข้าถึงย้อนหลังเพื่อหาสัญญาณการยึด session ที่ผิดปกติ เช่น การล็อกอินจากตำแหน่งหรืออุปกรณ์แปลก ๆ และพิจารณาบังคับให้ผู้ใช้ทั้งหมดรีเซ็ตรหัสผ่านและเพิกถอน session เดิมหากสงสัยว่าถูกโจมตี นอกจากนี้ควรวางเว็บเมลไว้หลัง WAF หรือ reverse proxy จำกัดการเข้าถึงเท่าที่จำเป็น และเปิดใช้การยืนยันตัวตนหลายชั้น (MFA) เพื่อลดผลกระทบหากบัญชีถูกเจาะ
