SAP ออกแพตช์ความปลอดภัย แก้ช่องโหว่ 27 รายการ
SAP ออกแพตช์อัปเดตความปลอดภัยประจำเดือนกรกฎาคม 2568 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยรวมทั้งหมด 27 รายการ ซึ่งในจำนวนนี้มีช่องโหว่ที่ถูกจัดระดับความร้ายแรงสูง (Critical) และสูง (High) รวมอยู่ด้วย ส่งผลให้แพตช์ชุดนี้มีความสำคัญอย่างยิ่งสำหรับองค์กรที่ใช้ระบบ SAP เพื่อป้องกันความเสี่ยงจากการถูกโจมตีและการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
ช่องโหว่ต่างๆ ที่ได้รับการแก้ไขครั้งนี้จะครอบคลุมหลายโมดูลและผลิตภัณฑ์ของ SAP เช่น SAP S/4HANA, SAP SCM, Live Auction Cockpit, SAP NetWeaver, SAP Business Objects, และ SAP Commerce Cloud เป็นต้น ที่สำคัญคือมีบางช่องโหว่มีความร้ายแรงระดับสูงสุด 10/10 เลย
รายละเอียดช่องโหว่ร้ายแรง
CVE‑2025‑30012 – ช่องโหว่รันคำสั่งบนระบบปฏิบัติการ (RCE) ในโมดูล SRM Live Auction Cockpitคะแนน CVSS สูงสุด 10/10 และถูกยกระดับความร้ายแรงว่ามีผลกระทบกว้างขวาง
CVE‑2025‑42967 – โค้ดอินเจคชันใน SAP S/4HANA และ SCM (Characteristic Propagation) CVSS 9.9
กลุ่มของ Insecure Deserialization ใน NetWeaver (EP Federated Portal, EP Admin, XML Data Archiving Service, Java Log Viewer) ทั้ง 5 ช่องโหว่ CVSS 9.1
รายละเอียดสำคัญของแพตช์
- จำนวนช่องโหว่ที่แก้ไข: 27 รายการ
- ระดับความร้ายแรง: ช่องโหว่ระดับสูงและวิกฤตินับรวมกันหลายรายการ
- ประเภทช่องโหว่หลักที่ได้รับการแก้ไข:
- การโจมตีแบบ Remote Code Execution (RCE) ที่เปิดโอกาสให้แฮกเกอร์สามารถรันคำสั่งจากระยะไกลบนเซิร์ฟเวอร์ได้
- ช่องโหว่ Cross-Site Scripting (XSS) ที่อาจถูกใช้โจมตีผู้ใช้ผ่านทางเว็บอินเตอร์เฟส
- การยกระดับสิทธิ์ (Privilege Escalation) ที่ช่วยให้ผู้โจมตีได้รับสิทธิ์สูงขึ้นในระบบ
- ช่องโหว่การจัดการข้อมูลที่อาจทำให้ข้อมูลรั่วไหลหรือถูกแก้ไขโดยไม่ได้รับอนุญาต
ช่องโหว่เหล่านี้สามารถถูกใช้โดยผู้ไม่ประสงค์ดีเพื่อเข้าถึงระบบ SAP ได้โดยตรง หรือแฝงตัวในระบบเพื่อดำเนินการโจมตีขั้นสูง เช่น การขโมยข้อมูลสำคัญขององค์กร, การทำลายข้อมูล หรือการแทรกแซงระบบธุรกิจโดยรวม
การที่ SAP ออกแพตช์ความปลอดภัยจำนวนมากในเดือนกรกฎาคมนี้ แสดงให้เห็นถึงความพยายามในการรักษาความมั่นคงปลอดภัยของระบบองค์กรทั่วโลก แต่ในขณะเดียวกันก็สะท้อนถึงภัยคุกคามที่เพิ่มขึ้นและความจำเป็นที่ผู้ใช้งานจะต้องให้ความสำคัญกับการอัปเดตและติดตั้งแพตช์อย่างต่อเนื่อง
ผู้ดูแลระบบไอทีควรรีบดำเนินการติดตั้งแพตช์ทันทีเพื่อปิดช่องโหว่เหล่านี้ รวมถึงทบทวนระบบความปลอดภัยและแนวปฏิบัติการควบคุมสิทธิ์การเข้าถึงข้อมูล เพื่อเพิ่มความปลอดภัยให้กับระบบ SAP ที่ใช้งาน