Critical Alert: ช่องโหว่ Apache Kvrocks เปิดสิทธิ์แอดมิน
Apache Software Foundation ได้ออกประกาศเตือนเร่งด่วนเกี่ยวกับช่องโหว่ใน Kvrocks ซึ่งเป็นฐานข้อมูล NoSQL ที่รองรับโปรโตคอล Redis โดยพบว่ามี สองช่องโหว่สำคัญ ที่อาจทำให้ผู้โจมตีเข้าถึงข้อมูลและสิทธิ์ระดับสูงได้โดยไม่ต้องมีการยืนยันตัวตนที่ถูกต้อง
CVE-2025-59790 – RESET Command Flaw
ช่องโหว่นี้ถูกจัดระดับ Critical เนื่องจากคำสั่ง RESET สามารถถูกใช้เพื่อยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปเป็นผู้ดูแลระบบได้ทันที โดยกระทบกับเวอร์ชัน 2.9.0 ถึง 2.13.0 หากถูกโจมตี ผู้ไม่หวังดีสามารถแก้ไขการตั้งค่า, เข้าถึงข้อมูลสำคัญ หรือหยุดการทำงานของบริการได้
CVE-2025-59792 – MONITOR Command Leak
ช่องโหว่นี้ถูกจัดระดับ Important และกระทบตั้งแต่เวอร์ชัน 1.0.0 ถึง 2.13.0 โดยคำสั่ง MONITOR ที่ใช้สำหรับ debug จะส่งคืนทุกคำสั่งที่เซิร์ฟเวอร์ประมวลผล แต่กลับเผยให้เห็น รหัสผ่านแบบ plaintext ที่ผู้ใช้รายอื่นส่งเข้ามา ทำให้ผู้โจมตีสามารถดักจับและนำไปใช้เพื่อเข้าถึงระบบได้
ผลกระทบและการแก้ไข
เนื่องจาก Kvrocks ถูกใช้ในระบบ cloud-native และงานที่ต้องจัดการข้อมูลขนาดใหญ่ ช่องโหว่นี้จึงมีผลกระทบต่อ data integrity และ confidentiality อย่างรุนแรง Apache ได้ออกเวอร์ชัน 2.14.0 เพื่อแก้ไขทั้งสองช่องโหว่ และแนะนำให้องค์กรเร่งอัปเดตทันทีเพื่อป้องกันการโจมตี
สรุปสาระสำคัญ
CVE-2025-59790 (RESET Command)
ยกระดับสิทธิ์ผู้ใช้ทั่วไปเป็นแอดมินได้ทันที
CVE-2025-59792 (MONITOR Command)
เผยรหัสผ่าน plaintext ของผู้ใช้รายอื่น
เวอร์ชันที่ได้รับผลกระทบ
2.9.0–2.13.0 (RESET) และ 1.0.0–2.13.0 (MONITOR)
การแก้ไข
อัปเดตเป็น Kvrocks 2.14.0 เพื่อปิดช่องโหว่
ความเสี่ยงต่อระบบ cloud-native
อาจทำให้ข้อมูลรั่วไหลและบริการหยุดชะงัก
การใช้ MONITOR โดยไม่ระวัง
เพิ่มโอกาสให้ผู้โจมตีดักจับรหัสผ่านได้ง่ายขึ้น
https://securityonline.info/critical-alert-apache-kvrocks-reset-command-flaw-grants-admin-privileges/
Apache Software Foundation ได้ออกประกาศเตือนเร่งด่วนเกี่ยวกับช่องโหว่ใน Kvrocks ซึ่งเป็นฐานข้อมูล NoSQL ที่รองรับโปรโตคอล Redis โดยพบว่ามี สองช่องโหว่สำคัญ ที่อาจทำให้ผู้โจมตีเข้าถึงข้อมูลและสิทธิ์ระดับสูงได้โดยไม่ต้องมีการยืนยันตัวตนที่ถูกต้อง
CVE-2025-59790 – RESET Command Flaw
ช่องโหว่นี้ถูกจัดระดับ Critical เนื่องจากคำสั่ง RESET สามารถถูกใช้เพื่อยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปเป็นผู้ดูแลระบบได้ทันที โดยกระทบกับเวอร์ชัน 2.9.0 ถึง 2.13.0 หากถูกโจมตี ผู้ไม่หวังดีสามารถแก้ไขการตั้งค่า, เข้าถึงข้อมูลสำคัญ หรือหยุดการทำงานของบริการได้
CVE-2025-59792 – MONITOR Command Leak
ช่องโหว่นี้ถูกจัดระดับ Important และกระทบตั้งแต่เวอร์ชัน 1.0.0 ถึง 2.13.0 โดยคำสั่ง MONITOR ที่ใช้สำหรับ debug จะส่งคืนทุกคำสั่งที่เซิร์ฟเวอร์ประมวลผล แต่กลับเผยให้เห็น รหัสผ่านแบบ plaintext ที่ผู้ใช้รายอื่นส่งเข้ามา ทำให้ผู้โจมตีสามารถดักจับและนำไปใช้เพื่อเข้าถึงระบบได้
ผลกระทบและการแก้ไข
เนื่องจาก Kvrocks ถูกใช้ในระบบ cloud-native และงานที่ต้องจัดการข้อมูลขนาดใหญ่ ช่องโหว่นี้จึงมีผลกระทบต่อ data integrity และ confidentiality อย่างรุนแรง Apache ได้ออกเวอร์ชัน 2.14.0 เพื่อแก้ไขทั้งสองช่องโหว่ และแนะนำให้องค์กรเร่งอัปเดตทันทีเพื่อป้องกันการโจมตี
สรุปสาระสำคัญ
CVE-2025-59790 (RESET Command)
ยกระดับสิทธิ์ผู้ใช้ทั่วไปเป็นแอดมินได้ทันที
CVE-2025-59792 (MONITOR Command)
เผยรหัสผ่าน plaintext ของผู้ใช้รายอื่น
เวอร์ชันที่ได้รับผลกระทบ
2.9.0–2.13.0 (RESET) และ 1.0.0–2.13.0 (MONITOR)
การแก้ไข
อัปเดตเป็น Kvrocks 2.14.0 เพื่อปิดช่องโหว่
ความเสี่ยงต่อระบบ cloud-native
อาจทำให้ข้อมูลรั่วไหลและบริการหยุดชะงัก
การใช้ MONITOR โดยไม่ระวัง
เพิ่มโอกาสให้ผู้โจมตีดักจับรหัสผ่านได้ง่ายขึ้น
https://securityonline.info/critical-alert-apache-kvrocks-reset-command-flaw-grants-admin-privileges/
🚨 Critical Alert: ช่องโหว่ Apache Kvrocks เปิดสิทธิ์แอดมิน
Apache Software Foundation ได้ออกประกาศเตือนเร่งด่วนเกี่ยวกับช่องโหว่ใน Kvrocks ซึ่งเป็นฐานข้อมูล NoSQL ที่รองรับโปรโตคอล Redis โดยพบว่ามี สองช่องโหว่สำคัญ ที่อาจทำให้ผู้โจมตีเข้าถึงข้อมูลและสิทธิ์ระดับสูงได้โดยไม่ต้องมีการยืนยันตัวตนที่ถูกต้อง
🛠️ CVE-2025-59790 – RESET Command Flaw
ช่องโหว่นี้ถูกจัดระดับ Critical เนื่องจากคำสั่ง RESET สามารถถูกใช้เพื่อยกระดับสิทธิ์จากผู้ใช้ทั่วไปไปเป็นผู้ดูแลระบบได้ทันที โดยกระทบกับเวอร์ชัน 2.9.0 ถึง 2.13.0 หากถูกโจมตี ผู้ไม่หวังดีสามารถแก้ไขการตั้งค่า, เข้าถึงข้อมูลสำคัญ หรือหยุดการทำงานของบริการได้
🔑 CVE-2025-59792 – MONITOR Command Leak
ช่องโหว่นี้ถูกจัดระดับ Important และกระทบตั้งแต่เวอร์ชัน 1.0.0 ถึง 2.13.0 โดยคำสั่ง MONITOR ที่ใช้สำหรับ debug จะส่งคืนทุกคำสั่งที่เซิร์ฟเวอร์ประมวลผล แต่กลับเผยให้เห็น รหัสผ่านแบบ plaintext ที่ผู้ใช้รายอื่นส่งเข้ามา ทำให้ผู้โจมตีสามารถดักจับและนำไปใช้เพื่อเข้าถึงระบบได้
🌐 ผลกระทบและการแก้ไข
เนื่องจาก Kvrocks ถูกใช้ในระบบ cloud-native และงานที่ต้องจัดการข้อมูลขนาดใหญ่ ช่องโหว่นี้จึงมีผลกระทบต่อ data integrity และ confidentiality อย่างรุนแรง Apache ได้ออกเวอร์ชัน 2.14.0 เพื่อแก้ไขทั้งสองช่องโหว่ และแนะนำให้องค์กรเร่งอัปเดตทันทีเพื่อป้องกันการโจมตี
📌 สรุปสาระสำคัญ
✅ CVE-2025-59790 (RESET Command)
➡️ ยกระดับสิทธิ์ผู้ใช้ทั่วไปเป็นแอดมินได้ทันที
✅ CVE-2025-59792 (MONITOR Command)
➡️ เผยรหัสผ่าน plaintext ของผู้ใช้รายอื่น
✅ เวอร์ชันที่ได้รับผลกระทบ
➡️ 2.9.0–2.13.0 (RESET) และ 1.0.0–2.13.0 (MONITOR)
✅ การแก้ไข
➡️ อัปเดตเป็น Kvrocks 2.14.0 เพื่อปิดช่องโหว่
‼️ ความเสี่ยงต่อระบบ cloud-native
⛔ อาจทำให้ข้อมูลรั่วไหลและบริการหยุดชะงัก
‼️ การใช้ MONITOR โดยไม่ระวัง
⛔ เพิ่มโอกาสให้ผู้โจมตีดักจับรหัสผ่านได้ง่ายขึ้น
https://securityonline.info/critical-alert-apache-kvrocks-reset-command-flaw-grants-admin-privileges/
0 Comments
0 Shares
8 Views
0 Reviews
Thai