SAP ออกแพตช์อุดช่องโหว่ 19 ตัวบน SAP CMC และ SAP NetWeaver

SAP ได้ประกาศออกแพตช์อุดช่องโหว่กว่า 19 ตัวในหลายผลิตภัณฑ์ มีช่องโหว่ที่สำคัญกระทบกับ SAP Business Objects Business Intelligence Platform (CMC) และ SQP NetWeaver โดยช่องโหว่ที่สำคัญมีดังนี้

Credit: Pavel Ignatov/ShutterStock

  • CVE-2023-25616: (CVSS v3: 9.9) ช่องโหว่ Code Injection ใน SAP Business Intelligent Platform กระทบกับเวอร์ชัน 420 และ 430
  • CVE-2023-23857: (CVSS v3: 9.8) ช่องโหว่ Information disclosure และ DoS กระทบ SAP NetWeaver AS for Java เวอร์ชัน 7.50
  • CVE-2023-27269: (CVSS v3: 9.6) ช่องโหว่ Directory Traversal กระทบ SAP NetWeaver Application Server for ABAP ทำให้ผู้โจมตีทำการเขียน File system ได้โดยตรง เวอร์ชันที่ได้รับผลกระทบได้แก่ 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, และ 791
  • CVE-2023-27500: (CVSS v3: 9.6) ช่องโหว่ Directory Traversal บน SAP NetWeaver AS for ABAP ทำให้สามารถโจมตีผ่าน SAPRSBRO เพื่อเขียน File system ทำให้ Endpoint ได้รับความเสียหายได้ เวอร์ชันที่ได้รับผลกระทบได้แก่ 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, และ 757
  • CVE-2023-25617: (CVSS v3: 9.0) ช่องโหว่ Command Execution บน SAP Business Objects Business Intelligence Platform เวอร์ชัน 420 และ 430 ทำให้ผู้โจมตีจากระยะไกลส่งคำสั่งไปยังระบบปฏิบัติการเพื่อใช้งาน BI Launchpad, Central Management Console และ Custom Application ที่เป็น Java SDK ได้

นอกจากนี้ SAP ยังออกแพตช์ช่องโหว่สำคัญอีก 4 ตัว และช่องโหว่ความรุนแรงระดับปานกลางอีก 10 ตัว ผู้ดูแลระบบควรทำการอัปเดตทันที ที่ผ่านมา SAP ถูกมุ่งเป้าโจมตีเนื่องจากเป็นระบบที่มีความสำคัญและองค์กรขนาดใหญ่ทั่วโลกนิยมใช้งาน ปัจจุบัน SAP มีลูกค้ามากกว่า 425,000 รายจาก 180 ประเทศทั่วโลก เมื่อช่วงปีที่แล้ว US Cybersecurity and Infrastucture Security Agency (CISA) เคยออกคำเตือนสำหรับผู้ดูแลระบบให้ทำการแพตช์ช่องโหว่สำคัญบน SAP Business App มาแล้ว เพื่อป้องกันการขโมยข้อมูลและการแพร่กระจายแรนซัมแวร์

ที่มา: https://www.bleepingcomputer.com/news/security/sap-releases-security-updates-fixing-five-critical-vulnerabilities/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้