Oracle ออกแพตช์ด่วน ปิดช่องโหว่ RCE ระดับวิกฤต เสี่ยงโดนยึดระบบทั้งองค์กร
Oracle ออกอัปเดตความปลอดภัยแบบฉุกเฉินเพื่ออุดช่องโหว่ร้ายแรงในระบบจัดการตัวตนขององค์กร หลังพบช่องโหว่ระดับวิกฤตที่เปิดทางให้แฮกเกอร์สามารถเข้าควบคุมระบบได้จากระยะไกลโดยไม่ต้องล็อกอิน โดยช่องโหว่นี้ถูกติดตามในชื่อ CVE-2026-21992 และถูกจัดอยู่ในระดับความรุนแรงสูงมากด้วยคะแนน CVSS 9.8
ช่องโหว่ไม่ต้องล็อกอิน แต่สั่งรันโค้ดได้ทันที
จุดอันตรายที่สุดของช่องโหว่นี้คือ แฮกเกอร์สามารถโจมตีผ่านเครือข่ายได้โดย “ไม่ต้องมีบัญชีผู้ใช้” และไม่ต้องอาศัยการกระทำใด ๆ จากเหยื่อเลย
หากโจมตีสำเร็จ ผู้ไม่หวังดีสามารถรันคำสั่งบนระบบเป้าหมายได้ทันที หรือที่เรียกว่า Remote Code Execution (RCE) ซึ่งถือเป็นหนึ่งในรูปแบบการโจมตีที่ร้ายแรงที่สุดในโลกไซเบอร์
ช่องโหว่นี้ยังถูกระบุว่าใช้ความซับซ้อนต่ำ และสามารถโจมตีผ่าน HTTP ได้ ทำให้ระบบที่เปิดให้เข้าถึงผ่านเครือข่ายมีความเสี่ยงสูงเป็นพิเศษ
Oracle เตือนให้อัปเดตทันที
ความร้ายแรงของช่องโหว่นี้ทำให้ Oracle ต้องออกแพตช์แบบ “นอกตารางปกติ” ผ่านระบบ Security Alert ซึ่งใช้เฉพาะกรณีฉุกเฉินที่ไม่สามารถรอรอบอัปเดตรายไตรมาสได้
ช่องโหว่นี้ส่งผลกระทบกับ Oracle Identity Manager และ Oracle Web Services Manager ในเวอร์ชัน 12.2.1.4.0 และ 14.1.2.1.0 ซึ่งเป็นระบบสำคัญที่ใช้จัดการสิทธิ์และความปลอดภัยในองค์กร
อย่างไรก็ตาม แพตช์จะมีให้เฉพาะเวอร์ชันที่ยังอยู่ในช่วงซัพพอร์ตเท่านั้น ขณะที่ระบบเวอร์ชันเก่าอาจยังคงเสี่ยง หากไม่ได้อัปเกรด
แม้ยังไม่มีการยืนยันว่าช่องโหว่นี้ถูกนำไปใช้โจมตีจริงแล้วหรือไม่ แต่ด้วยระดับความรุนแรงและความง่ายในการโจมตี ผู้เชี่ยวชาญมองว่าความเสี่ยง “ไม่ใช่เรื่องทฤษฎี” และอาจถูกใช้โจมตีได้ทุกเมื่อ