ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

5 ข่าว

แฮ็กเกอร์ใช้ Claude AI เจาะ SQL Injection ระบบขายตั๋วเทศกาลดนตรีทั่วสหรัฐฯ

vulnerability ai anthropic claude claude ai edc
นักวิจัยพบช่องโหว่ SQL injection แบบไม่ต้องยืนยันตัวตนในระบบ Front Gate Tickets ของ Live Nation/Ticketmaster ที่ดูแลการขายตั๋วเทศกาลใหญ่อย่าง EDC และ Bonnaroo โดยใช้ Claude Code ช่วยหลบ WAF และสร้าง blind SQL injection จนยึดสิทธิ์แอดมินได้เต็มระบบ เข้าถึงตารางกว่า 500 ตารางที่มีรหัสผ่านและโทเคน สะท้อนแนวโน้มการใช้ AI ช่วยค้นและเจาะช่องโหว่ที่กำลังเพิ่มขึ้น

Reflectiz จับมือ Taboola จัดเวบินาร์ 'ปกป้องมาร์เก็ตติ้งจากบุคคลที่สามในยุค AI' 8 กรกฎาคมนี้

Reflectiz จับมือ Taboola จัดเวบินาร์ปกป้องมาร์เก็ตติ้งจากบุคคลที่สามในยุค AI
บริษัท Reflectiz แพลตฟอร์มบริหารความเสี่ยงหน้าเว็บ จับมือบริษัท Taboola จัดเวบินาร์หัวข้อการปกป้องมาร์เก็ตติ้งจากบุคคลที่สามในยุค AI วันที่ 8 กรกฎาคม ชี้ปัญหาสคริปต์การตลาดที่ทีมความปลอดภัยไม่เคยตรวจสอบสามารถดึงสคริปต์บุคคลที่สามและที่สี่เข้ามาทำงานบนเว็บไซต์โดยไม่รู้ตัว ซึ่ง AI กำลังเร่งให้ห่วงโซ่นี้ขยายตัวเร็วกว่าที่ทีมตรวจสอบด้วยมือจะตามทัน เสี่ยงข้อมูลรั่วไหลและปัญหาด้านกฎระเบียบ

Ghost CMS ช่องโหว่ SQL Injection CVE-2026-26980 — แฮ็กเกอร์โจมตีกว่า 700 เว็บไซต์ ฝัง ClickFix ใน Harvard และ Oxford

Ghost CMS SQL injection CVE-2026-26980 exploited in ClickFix campaign
ช่องโหว่ CVE-2026-26980 ใน Ghost CMS เปิดให้แฮ็กเกอร์ที่ไม่ผ่านการยืนยันตัวตนอ่านฐานข้อมูลและขโมย Admin API Key ผ่าน SQL Injection ผู้โจมตีใช้สิทธิ์ที่ได้มาฉีด JavaScript อันตรายเข้าบทความในเว็บไซต์ ทำให้ผู้เข้าชมถูกโจมตีด้วยเทคนิค ClickFix ในรูป FakeCaptcha แคมเปญแพร่กระจายไปกว่า 700 โดเมน รวมถึง Harvard, Oxford และ Auburn University ช่องโหว่ได้รับการแก้ไขใน Ghost เวอร์ชัน 6.19.1 แล้ว ผู้ดูแลระบบควรอัปเดตและหมุนเวียน API Key ทันที

Drupal ออกแพตช์ฉุกเฉินวันนี้ — ช่องโหว่ Highly Critical ไม่ต้อง Login ก็เข้าถึงข้อมูลทั้งหมดได้

Drupal highly critical security release May 2026
Drupal ประกาศออกแพตช์ความปลอดภัยฉุกเฉินสำหรับทุกเวอร์ชันที่รองรับในวันที่ 20 พฤษภาคม 2569 เพื่อแก้ไขช่องโหว่ระดับ Highly Critical ที่ได้คะแนน NIST 20 จาก 25 ช่องโหว่นี้ไม่ต้องยืนยันตัวตนก็สามารถเข้าถึงข้อมูลทั้งหมดบนเว็บไซต์ แก้ไข หรือลบข้อมูลได้ ทีมความปลอดภัยเตือนว่า exploit อาจถูกสร้างขึ้นภายในไม่กี่ชั่วโมงหลังเปิดเผยรายละเอียด

Funnel Builder ปลั๊กอิน WordPress ถูกโจมตีจริง — แฮ็กเกอร์ฝัง Skimmer ขโมยบัตรเครดิตจากร้านค้า WooCommerce กว่า 40,000 แห่ง

Funnel Builder WooCommerce checkout skimming attack
ช่องโหว่ร้ายแรงในปลั๊กอิน Funnel Builder สำหรับ WordPress ถูกโจมตีจริงแล้ว ผู้โจมตีฝังสคริปต์ปลอมที่เลียนแบบ Google Tag Manager เข้าไปในหน้า checkout ของร้านค้า WooCommerce เพื่อขโมยข้อมูลบัตรเครดิต ปลั๊กอินนี้ถูกใช้ในร้านค้าออนไลน์กว่า 40,000 แห่ง ช่องโหว่ไม่ต้องยืนยันตัวตน แพตช์แก้ไขแล้วในเวอร์ชัน 3.15.0.3