ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

4 ข่าว

GitLab ออกแพตช์ปิดช่องโหว่ 13 รายการ รวม XSS ระดับสูง 3 ตัวที่นำไปสู่การรันโค้ดและข้อมูลรั่ว

GitLab patches code execution and information disclosure vulnerabilities
GitLab ออกอัปเดตความปลอดภัยให้ทั้ง Community Edition และ Enterprise Edition ปิดช่องโหว่รวม 13 รายการ โดยมี 3 รายการระดับความรุนแรงสูง ตัวที่ร้ายแรงที่สุดคือ CVE-2026-10086 ซึ่งเป็น XSS ใน Analytics dashboard ของ GitLab EE ตามด้วย CVE-2026-10712 ที่เป็น XSS ใน Web IDE ซึ่งผู้โจมตีที่ไม่ต้องยืนยันตัวตนใช้ประโยชน์ได้ และ CVE-2026-12053 ที่เปิดให้เข้าถึงข้อมูลสำคัญ แพตช์อยู่ในเวอร์ชัน 19.1.1, 19.0.3 และ 18.11.6

ช่องโหว่ CI/CD 'Cordyceps' เปิดทาง supply-chain attack — กระทบ 300+ repo GitHub ของ Microsoft, Google, Apache, Cloudflare

Cordyceps CI/CD flaws expose 300+ GitHub repositories to supply-chain attacks
นักวิจัย Novee Security เปิดโปงช่องโหว่ workflow CI/CD รูปแบบใหม่ชื่อ Cordyceps ที่เปิดทางให้ผู้โจมตียึด workflow และเจาะ open-source supply chain ได้ จากการสแกน repo สำคัญ 30,000 แห่ง พบกว่า 300 แห่งถูกเจาะได้เต็มรูปแบบ รวมถึง repo ของ Microsoft, Google, Apache และ Cloudflare ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตนและมีบัญชีฟรีก็สามารถปลอมการอนุมัติ push โค้ด หรือขโมย credential ได้

Emphere ระดมทุน 2.1 ล้านดอลลาร์ — สร้าง AI แก้ช่องโหว่อัตโนมัติ วิเคราะห์ dependency graph แล้วแพตช์เองโดยไม่พังระบบ

Emphere raises 2.1 million for AI-powered vulnerability remediation
Emphere สตาร์ทอัปจากซีแอตเทิลระดมทุน pre-seed 2.1 ล้านดอลลาร์จาก AI2 Incubator และ Outsiders Fund เพื่อพัฒนาแพลตฟอร์มแก้ช่องโหว่อัตโนมัติด้วย AI แนวทางของบริษัทตอบโจทย์ยุคที่ซอฟต์แวร์ประกอบจากแพ็กเกจโอเพนซอร์ส dependency และ OS layer แพลตฟอร์มจะวิเคราะห์ dependency graph เพื่อเข้าใจว่าช่องโหว่ใดถูกโจมตีได้จริง แล้วลงมือแพตช์ ตรวจสอบ และส่งผลลัพธ์อัตโนมัติโดยไม่ทำให้ระบบปลายน้ำพังหรือถูกเครื่องมือความปลอดภัยบล็อก

GitLab ออกแพตช์ฉุกเฉินแก้หลายช่องโหว่ Duo AI, DoS และ Authorization — บั๊กร้ายสุดเปิดให้รัน workflow ในชื่อผู้ใช้คนอื่น

GitLab security patch Duo AI workflow access control vulnerability
GitLab ออกแพตช์ความปลอดภัยฉุกเฉินทั้ง Community และ Enterprise Edition แก้หลายช่องโหว่ใน Duo AI, DoS และ authorization โดยปล่อยเวอร์ชัน 19.0.1, 18.11.4 และ 18.10.7 เมื่อ 27 พฤษภาคม 2569 ช่องโหว่ร้ายแรงสุดคือ CVE-2026-4868 (CVSS 8.2) ใน Duo AI workflow runner ที่เปิดให้ผู้ใช้ที่ล็อกอินสั่ง workflow ทำงานในชื่อผู้ใช้คนอื่น นำสู่การเคลื่อนตัวด้านข้างและใช้สิทธิ์ในทางที่ผิด GitLab เร่งให้แอดมินอัปเกรดทันที