ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

4 ข่าว

Ubiquiti อุดช่องโหว่ร้ายแรงชุดใหญ่ใน UniFi — Connect, Talk, Access, Protect และ UniFi OS

unifi vulnerability cve 2026 50746 aws cvss os ubiquiti
บริษัท Ubiquiti ออกแพตช์อุดช่องโหว่ร้ายแรงหลายรายการใน UniFi Connect, Talk, Access, Protect และ UniFi OS ที่เปิดทางให้ยกระดับสิทธิ์และรันคำสั่งบนอุปกรณ์ได้ ช่องโหว่ร้ายแรงสุด CVE-2026-50746 มีคะแนน CVSS เต็ม 10.0 แม้ยังไม่พบการโจมตีจริงจากชุดนี้ แต่เมื่อเดือนก่อน CISA เพิ่งเตือนช่องโหว่ UniFi OS อีก 3 ตัวที่ถูกใช้โจมตีในโลกจริงมาแล้ว ผู้ดูแลระบบควรอัปเดตทันที

แฮ็กเกอร์ใช้ Claude AI เจาะ SQL Injection ระบบขายตั๋วเทศกาลดนตรีทั่วสหรัฐฯ

vulnerability ai anthropic claude claude ai edc
นักวิจัยพบช่องโหว่ SQL injection แบบไม่ต้องยืนยันตัวตนในระบบ Front Gate Tickets ของ Live Nation/Ticketmaster ที่ดูแลการขายตั๋วเทศกาลใหญ่อย่าง EDC และ Bonnaroo โดยใช้ Claude Code ช่วยหลบ WAF และสร้าง blind SQL injection จนยึดสิทธิ์แอดมินได้เต็มระบบ เข้าถึงตารางกว่า 500 ตารางที่มีรหัสผ่านและโทเคน สะท้อนแนวโน้มการใช้ AI ช่วยค้นและเจาะช่องโหว่ที่กำลังเพิ่มขึ้น

Ghost CMS ช่องโหว่ SQL Injection CVE-2026-26980 — แฮ็กเกอร์โจมตีกว่า 700 เว็บไซต์ ฝัง ClickFix ใน Harvard และ Oxford

Ghost CMS SQL injection CVE-2026-26980 exploited in ClickFix campaign
ช่องโหว่ CVE-2026-26980 ใน Ghost CMS เปิดให้แฮ็กเกอร์ที่ไม่ผ่านการยืนยันตัวตนอ่านฐานข้อมูลและขโมย Admin API Key ผ่าน SQL Injection ผู้โจมตีใช้สิทธิ์ที่ได้มาฉีด JavaScript อันตรายเข้าบทความในเว็บไซต์ ทำให้ผู้เข้าชมถูกโจมตีด้วยเทคนิค ClickFix ในรูป FakeCaptcha แคมเปญแพร่กระจายไปกว่า 700 โดเมน รวมถึง Harvard, Oxford และ Auburn University ช่องโหว่ได้รับการแก้ไขใน Ghost เวอร์ชัน 6.19.1 แล้ว ผู้ดูแลระบบควรอัปเดตและหมุนเวียน API Key ทันที

LiteLLM ช่องโหว่ SQL Injection วิกฤต — แฮ็กเกอร์ขโมย API Key ของ LLM Provider ได้ภายใน 36 ชั่วโมง

LiteLLM CVE-2026-42208 SQL Injection AI Security
พบช่องโหว่ CVE-2026-42208 (CVSS 9.3) ใน BerriAI LiteLLM ซึ่งเป็น Python proxy ยอดนิยมสำหรับเชื่อมต่อ LLM หลายตัว ช่องโหว่เป็น SQL injection ที่ผู้โจมตีส่ง Authorization header พิเศษไปยัง API route ใดก็ได้เพื่ออ่านและแก้ไขฐานข้อมูล ขโมย API key ของ OpenAI, Anthropic และ provider อื่น ๆ ถูก exploit จริงภายใน 36 ชั่วโมงหลังเปิดเผย CISA บรรจุเข้า KEV catalog