TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
SAP ออกอัปเดตความปลอดภัยประจำเดือนพฤษภาคม 2026 แก้ไขช่องโหว่ทั้งหมด 15 รายการ รวมถึงช่องโหว่ระดับ Critical 2 รายการที่ส่งผลกระทบต่อ Commerce Cloud และ S/4HANA
Commerce Cloud เป็นแพลตฟอร์ม E-commerce ระดับ Enterprise ที่ถูกใช้งานอย่างแพร่หลายในกลุ่มธุรกิจค้าปลีกขนาดใหญ่และแบรนด์ระดับโลก ส่วน S/4HANA เป็น ERP Suite บน Cloud ที่จะมาแทนที่ระบบ ECC ERP แบบ on-premises ของ SAP ช่องโหว่แรก CVE-2026-34263 เกิดจากปัญหา Missing Authentication Check บน Commerce Cloud ที่เกิดจากการตั้งค่า Spring Security ไม่ถูกต้อง ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถอัปโหลด Configuration ที่เป็นอันตรายและ injectโค้ดเพื่อรันคำสั่งบนเซิร์ฟเวอร์ได้ (Remote Code Execution) ส่งผลกระทบต่อทั้ง Confidentiality, Integrity และ Availability ของระบบ
ช่องโหว่ที่สอง CVE-2026-34260 เป็นช่องโหว่ SQL Injection บน S/4HANA ที่ผู้โจมตีซึ่งมีสิทธิ์ขั้นต่ำสามารถ inject คำสั่ง SQL ที่เป็นอันตรายได้ เนื่องจากแอปพลิเคชันนำ Input จากผู้ใช้งานไปต่อเข้ากับ SQL Query โดยตรงโดยไม่มีการตรวจสอบหรือกรองข้อมูลอย่างเหมาะสม หากถูกโจมตีสำเร็จ ผู้โจมตีอาจเข้าถึงข้อมูลสำคัญในฐานข้อมูลและอาจทำให้แอปพลิเคชันหยุดทำงานได้
นอกจากช่องโหว่ระดับ Critical แล้ว อัปเดตประจำเดือนพฤษภาคม 2026 ยังแก้ไขช่องโหว่ระดับ High อีก 1 รายการ และระดับ Medium อีก 11 รายการ ครอบคลุมปัญหาด้าน Command Injection, Missing Authorization Check, XSS, CSRF และ Denial-of-Service แม้ SAP จะระบุว่ายังไม่พบการโจมตีจริงจากช่องโหว่เหล่านี้ แต่ในช่วงหลายปีที่ผ่านมา CISA ได้เพิ่มช่องโหว่ของ SAP เข้าไปใน Known Exploited Vulnerabilities Catalog แล้วถึง 14 รายการ รวมถึง 2 รายการที่ถูกใช้ในการโจมตีด้วย Ransomware ในฐานะผู้ผลิตซอฟต์แวร์ Enterprise รายใหญ่ที่สุดของโลกที่ให้บริการลูกค้า 99 จาก 100 บริษัทที่ใหญ่ที่สุดในโลก องค์กรที่ใช้งาน SAP ควรดำเนินการแพตช์โดยด่วน
