SAP แก้ไขช่องโหว่ร้ายแรงใน NetWeaver Application Server

SAP ออกแพตช์ความปลอดภัยประจำเดือนมกราคม 2025 แก้ไขช่องโหว่ร้ายแรง 2 รายการใน NetWeaver ที่อาจถูกใช้ยกระดับสิทธิ์และเข้าถึงข้อมูล พร้อมอัปเดตแก้ไขช่องโหว่อีก 12 รายการในผลิตภัณฑ์อื่นๆ

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขในครั้งนี้ประกอบด้วย:

  • CVE-2025-0070 (คะแนนความรุนแรง 9.9): ช่องโหว่การยืนยันตัวตนที่ไม่เหมาะสมใน SAP NetWeaver Application Server สำหรับ ABAP และ ABAP Platform ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์ได้
  • CVE-2025-0066 (คะแนนความรุนแรง 9.9): ช่องโหว่การเปิดเผยข้อมูลใน Internet Communication Framework ของ SAP NetWeaver AS สำหรับ ABAP เนื่องจากการควบคุมการเข้าถึงที่อ่อนแอ
  • CVE-2025-0063 (คะแนนความรุนแรง 8.8): ช่องโหว่ SQL Injection ที่เกิดจากการขาดการตรวจสอบสิทธิ์สำหรับ RFC Function Modules บางรายการ
  • CVE-2025-0061 (คะแนนความรุนแรง 8.7): ช่องโหว่ใน SAP BusinessObjects Business Intelligence Platform ที่อาจถูกใช้ขโมย Session และเข้าถึงข้อมูลแอปพลิเคชันทั้งหมด

SAP แนะนำให้ลูกค้าติดตั้งแพตช์ล่าสุดโดยเร็วที่สุดเพื่อปกป้องระบบ SAP ขององค์กร เนื่องจากผลิตภัณฑ์ SAP ถูกใช้งานในองค์กรขนาดใหญ่หลายอุตสาหกรรม โดยที่ผ่านมาแฮกเกอร์มักพุ่งเป้าโจมตีระบบ SAP ที่ไม่ได้รับการอัปเดตหรือตั้งค่าไม่เหมาะสม

ที่มา: https://www.bleepingcomputer.com/news/security/sap-fixes-critical-vulnerabilities-in-netweaver-application-servers/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้