ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

4 ข่าว

F5 ออกแพตช์ฉุกเฉินแก้ช่องโหว่วิกฤตใน NGINX — ผู้โจมตีรันโค้ดบนเซิร์ฟเวอร์ได้จากระยะไกลโดยไม่ต้องยืนยันตัวตน

F5 critical NGINX vulnerabilities CVE-2026-42530 and CVE-2026-42055
บริษัท F5 ออกแพตช์ความปลอดภัยนอกรอบปกติเพื่อแก้ไขช่องโหว่หลายรายการใน NGINX web server รวมถึง 2 ช่องโหว่ระดับวิกฤต CVE-2026-42530 และ CVE-2026-42055 ที่เปิดให้ผู้โจมตีไม่ต้องยืนยันตัวตนทำ denial-of-service หรือรันโค้ดบนระบบ NGINX ที่ใช้ config แบบ non-default ได้ ช่องโหว่เกิดจาก use-after-free และ heap-based buffer overflow ใน HTTP/3 และ proxy module

HTTP/2 Bomb — เทคนิค DoS ใหม่ ล่มเว็บเซิร์ฟเวอร์ในไม่ถึงนาที จากเครื่องเดียว กระทบ NGINX, Apache, IIS

New HTTP/2 Bomb DoS attack crashes web servers in under a minute
นักวิจัยจากบริษัท Calif (ค้นพบโดย Codex software agent ของ OpenAI) เปิดเผยเทคนิค DoS ใหม่ชื่อ HTTP/2 Bomb ที่ล่มเว็บเซิร์ฟเวอร์ได้จากเครื่องเดียวในไม่กี่วินาที กระทบค่าตั้งเริ่มต้น HTTP/2 ของ NGINX, Apache, Microsoft IIS, Envoy และ Cloudflare Pingora เทคนิคผสาน HPACK compression amplification กับ Slowloris-style ผ่าน flow-control ทำให้ 1 byte ขยายเป็นหลายพัน byte เครื่องบ้าน 100Mbps ดูด RAM 32GB ใน 10–20 วินาที แก้แล้วใน nginx 1.29.8 และ Apache (CVE-2026-49975)

F5 แพตช์ 51 ช่องโหว่ใน BIG-IP, BIG-IQ และ NGINX — รวม RCE และ Command Injection หลายตัว

F5 BIG-IP NGINX Quarterly Security Patch May 2026
F5 ออกแพตช์ประจำไตรมาสพฤษภาคม 2569 แก้ไข 51 ช่องโหว่ใน BIG-IP, BIG-IQ และ NGINX มีระดับ High 19 ตัว ตัวร้ายแรงสุดคือ CVE-2026-42945 (CVSS 9.2) ใน NGINX rewrite module ที่ทำ DoS/RCE ได้ นอกจากนี้ยังมี command injection หลายตัวใน BIG-IP ที่ต้อง authentication แต่อาจถูก chain กับช่องโหว่อื่น

NGINX Rift — ช่องโหว่อายุ 18 ปี เปิดทาง RCE โดยไม่ต้องยืนยันตัวตน

NGINX Rift CVE-2026-42945 Heap Buffer Overflow RCE
พบช่องโหว่วิกฤต CVE-2026-42945 (CVSS 9.2) ใน NGINX rewrite module ที่ซ่อนอยู่นาน 18 ปี ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ด้วย HTTP request เพียงครั้งเดียว — ผู้ดูแลเว็บเซิร์ฟเวอร์ควรอัปเดตทันที