Patch

Microsoft Exchange Server Zero-Day ถูกโจมตีจริง — ยังไม่มีแพตช์ เปิด XSS ผ่านอีเมลปลอม

Microsoft Exchange Server Zero-Day CVE-2026-42897

Microsoft เตือนช่องโหว่ Zero-Day CVE-2026-42897 (CVSS 8.1) ใน Exchange Server ถูกใช้โจมตีจริงแล้ว ผู้โจมตีส่งอีเมลปลอมเพื่อรัน JavaScript บน OWA — กระทบ Exchange 2016, 2019 และ SE ที่ติดตั้ง On-Prem ทั้งหมด ยังไม่มีแพตช์แก้ไข มีเพียง mitigation ชั่วคราว

ที่มา: The Hacker News

อ่านต่อ →

Cisco SD-WAN Controller ถูกโจมตีจริงแล้ว — ช่องโหว่ข้ามยืนยันตัวตน CVSS 10.0

Cisco SD-WAN Controller Authentication Bypass CVE-2026-20182

Cisco เปิดเผยช่องโหว่ CVE-2026-20182 ระดับวิกฤต (CVSS 10.0) ใน Catalyst SD-WAN Controller ที่ถูกใช้โจมตีจริงแล้ว ผู้โจมตีสามารถข้ามการยืนยันตัวตนและได้สิทธิ์ Admin ควบคุมเครือข่ายทั้งหมด — ผู้ดูแลระบบควรแพตช์ทันที

อ่านต่อ →

NGINX Rift — ช่องโหว่อายุ 18 ปี เปิดทาง RCE โดยไม่ต้องยืนยันตัวตน

NGINX Rift CVE-2026-42945 Heap Buffer Overflow RCE

พบช่องโหว่วิกฤต CVE-2026-42945 (CVSS 9.2) ใน NGINX rewrite module ที่ซ่อนอยู่นาน 18 ปี ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ด้วย HTTP request เพียงครั้งเดียว — ผู้ดูแลเว็บเซิร์ฟเวอร์ควรอัปเดตทันที

อ่านต่อ →