SAP แก้ไขช่องโหว่ร้ายแรงใน NetWeaver Application Server

SAP ออกแพตช์ความปลอดภัยประจำเดือนมกราคม 2025 แก้ไขช่องโหว่ร้ายแรง 2 รายการใน NetWeaver ที่อาจถูกใช้ยกระดับสิทธิ์และเข้าถึงข้อมูล พร้อมอัปเดตแก้ไขช่องโหว่อีก 12 รายการในผลิตภัณฑ์อื่นๆ

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขในครั้งนี้ประกอบด้วย:

  • CVE-2025-0070 (คะแนนความรุนแรง 9.9): ช่องโหว่การยืนยันตัวตนที่ไม่เหมาะสมใน SAP NetWeaver Application Server สำหรับ ABAP และ ABAP Platform ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์ได้
  • CVE-2025-0066 (คะแนนความรุนแรง 9.9): ช่องโหว่การเปิดเผยข้อมูลใน Internet Communication Framework ของ SAP NetWeaver AS สำหรับ ABAP เนื่องจากการควบคุมการเข้าถึงที่อ่อนแอ
  • CVE-2025-0063 (คะแนนความรุนแรง 8.8): ช่องโหว่ SQL Injection ที่เกิดจากการขาดการตรวจสอบสิทธิ์สำหรับ RFC Function Modules บางรายการ
  • CVE-2025-0061 (คะแนนความรุนแรง 8.7): ช่องโหว่ใน SAP BusinessObjects Business Intelligence Platform ที่อาจถูกใช้ขโมย Session และเข้าถึงข้อมูลแอปพลิเคชันทั้งหมด

SAP แนะนำให้ลูกค้าติดตั้งแพตช์ล่าสุดโดยเร็วที่สุดเพื่อปกป้องระบบ SAP ขององค์กร เนื่องจากผลิตภัณฑ์ SAP ถูกใช้งานในองค์กรขนาดใหญ่หลายอุตสาหกรรม โดยที่ผ่านมาแฮกเกอร์มักพุ่งเป้าโจมตีระบบ SAP ที่ไม่ได้รับการอัปเดตหรือตั้งค่าไม่เหมาะสม

ที่มา: https://www.bleepingcomputer.com/news/security/sap-fixes-critical-vulnerabilities-in-netweaver-application-servers/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Google Cloud เพิ่ม BigQuery datasets บน Marketplace แล้ว

Google Cloud ประกาศเปิดให้ผู้ใช้งานสามารถเข้าถึงชุดข้อมูล BigQuery datasets ผ่าน Google Cloud Marketplace ด้วยการผสานการทำงานร่วมกับ BigQuery Analytics Hub เพื่อเพิ่มช่องทางการเข้าถึงข้อมูลสำหรับองค์กร

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์