SAP แก้ไขช่องโหว่ร้ายแรงใน NetWeaver Application Server

SAP ออกแพตช์ความปลอดภัยประจำเดือนมกราคม 2025 แก้ไขช่องโหว่ร้ายแรง 2 รายการใน NetWeaver ที่อาจถูกใช้ยกระดับสิทธิ์และเข้าถึงข้อมูล พร้อมอัปเดตแก้ไขช่องโหว่อีก 12 รายการในผลิตภัณฑ์อื่นๆ

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขในครั้งนี้ประกอบด้วย:

• CVE-2025-0070 (คะแนนความรุนแรง 9.9): ช่องโหว่การยืนยันตัวตนที่ไม่เหมาะสมใน SAP NetWeaver Application Server สำหรับ ABAP และ ABAP Platform ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์ได้
• CVE-2025-0066 (คะแนนความรุนแรง 9.9): ช่องโหว่การเปิดเผยข้อมูลใน Internet Communication Framework ของ SAP NetWeaver AS สำหรับ ABAP เนื่องจากการควบคุมการเข้าถึงที่อ่อนแอ
• CVE-2025-0063 (คะแนนความรุนแรง 8.8): ช่องโหว่ SQL Injection ที่เกิดจากการขาดการตรวจสอบสิทธิ์สำหรับ RFC Function Modules บางรายการ
• CVE-2025-0061 (คะแนนความรุนแรง 8.7): ช่องโหว่ใน SAP BusinessObjects Business Intelligence Platform ที่อาจถูกใช้ขโมย Session และเข้าถึงข้อมูลแอปพลิเคชันทั้งหมด

SAP แนะนำให้ลูกค้าติดตั้งแพตช์ล่าสุดโดยเร็วที่สุดเพื่อปกป้องระบบ SAP ขององค์กร เนื่องจากผลิตภัณฑ์ SAP ถูกใช้งานในองค์กรขนาดใหญ่หลายอุตสาหกรรม โดยที่ผ่านมาแฮกเกอร์มักพุ่งเป้าโจมตีระบบ SAP ที่ไม่ได้รับการอัปเดตหรือตั้งค่าไม่เหมาะสม

ที่มา: https://www.bleepingcomputer.com/news/security/sap-fixes-critical-vulnerabilities-in-netweaver-application-servers/