หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ CVE-2025-0994 ของ Trimble Cityworks ลงในรายการ Known Exploited Vulnerabilities (KEV) โดย Trimble Cityworks เป็นซอฟต์แวร์บริหารจัดการสินทรัพย์และการออกใบอนุญาตที่ใช้ระบบ GIS สำหรับหน่วยงานท้องถิ่น บริการสาธารณูปโภค และองค์กรด้านสาธารณูปการ
ซอฟต์แวร์นี้ทำงานร่วมกับ Esri’s ArcGIS เพื่อช่วยบริหารโครงสร้างพื้นฐาน ช่องโหว่นี้เป็นปัญหา Deserialization of Untrusted Data ที่ช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดระยะไกล (Remote Code Execution) บนเซิร์ฟเวอร์ Microsoft IIS ของผู้ใช้ได้ โดยมีคะแนนความรุนแรง CVSS 8.6 และส่งผลกระทบต่อ Trimble Cityworks เวอร์ชันก่อน 15.8.9 และ Cityworks Office Companion เวอร์ชันก่อน 23.10
เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่เหล่านี้ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) จะต้องทำการอัปเดตแก้ไขช่องโหว่ภายในเวลาที่กำหนด โดย CISA กำหนดให้แก้ไขช่องโหว่ทั้งหมดภายใน 28 กุมภาพันธ์ 2025 เพื่อป้องกันการถูกใช้ประโยชน์จากช่องโหว่และดำเนินการแก้ไขช่องโหว่ที่เกี่ยวข้องโดยเร็วที่สุด
แหล่งข่าว https://securityaffairs.com/173975/hacking/u-s-cisa-adds-trimble-cityworks-flaw-to-its-known-exploited-vulnerabilities-catalog.html
————————————————————————————————————————————————————————–
ที่มา : THai CERT / วันที่เผยแพร่ 10 กุมภาพันธ์ 2568
Link : https://shorturl.at/XGBGv