TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
SAP ได้ออกแพตช์ประจำเดือนเมษายน 2023 อุด 3 ช่องโหว่สำคัญบน SAP Diagnostics Agent และ SAP BusinessObjects สำหรับช่องโหว่สำคัญมีดังนี้
- CVE-2023-27267 (CVSS score 9.0): ช่องโหว่ Insufficient Input Validation และ Missing Authentication เกิดขึ้นใน OSCommand Bridge บน SAP Dianostics Agent เวอร์ชัน 720 ทำให้ผู้โจมตีสามารถรันสคริปเพื่อเชื่อมต่อ Agent และเข้าถึงระบบโดยรวมได้
- CVE-2023-28765 (CVSS score 9.8): ช่องโหว่ Information disclosure กระทบ SAP BusinessObjects Business Intelligence Platform (Promotion Management) เวอร์ชัน 420 และ 430 ทำให้ผู้โจมตีสามารถยกระดับสิทธิของตนเองเพื่อเข้าถึงไฟล์ LCMBIAR และถอดรหัสได้ ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้งานภายในได้ทั้งหมด
- CVE-2023-29186 (CVSS score 8.7): ช่องโหว่ Directory Traversal กระทบ SAP NetWeaver เวอร์ชัน 707, 737, 747 และ 757 ทำให้ผู้โจมตีสามารถอัปโหลดไฟล์และเขียนไฟล์ในระบบได้
นอกจากนี้ SAP ยังออกแพตช์อุดช่องโหว่ในผลิตภัณฑ์อื่นๆอีกกว่า 11 ตัว ซึ่งเป็นช่องโหว่ความรุนแรงต่ำจนถึงปานกลาง ผู้ดูแลระบบควรทำการอัปเดตเพื่อเพิ่มความปลอดภัย โดยสามารถดูรายละเอียดเกี่ยวกับแพตช์ทั้งหมดได้จากลิ้งด้านล่าง
SAP Security Notes: https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
