SAP ออกแพตช์อุดช่องโหว่ความปลอดภัยร้ายแรง ทำระบบ ERP/CRM เสี่ยงถูกเจาะ
SAP ได้ออก Security Patch Day ประจำเดือนกุมภาพันธ์ ออกมา พร้อมคำเตือนให้ลูกค้าทั่วโลกรีบเร่งติดตั้งแพตช์เพื่อปกป้องระบบ SAP ของตนเองจากช่องโหว่ที่มีความรุนแรงระดับสูงสุดก่อนที่ผู้ไม่หวังดีจะนำไปใช้โจมตีจริง
ช่องโหว่สำคัญที่ถูกแก้ไขครั้งนี้คือ “CVE-2026-0488” ซึ่งเป็นช่องโหว่ code injection ในโมดูลหลักของระบบ SAP CRM และ SAP S/4HANA Scripting Editor ซึ่งได้รับคะแนนความรุนแรงสูงถึง 9.9/10 ตามเกณฑ์ CVSS ผู้โจมตีที่ได้รับอนุญาตเข้าใช้ระบบเพียงระดับพื้นฐานก็อาจใช้ช่องโหว่นี้แทรกและรันโค้ดอันตรายภายในระบบองค์กรได้โดยง่าย
ความร้ายแรงของช่องโหว่นี้ไม่ได้จำกัดเพียงเรียกดูข้อมูลเพียงอย่างเดียว แต่ยังอาจส่งผลถึง การเปลี่ยนแปลงข้อมูลในระบบ การเข้าควบคุมองค์ประกอบสำคัญของระบบ ERP/CRM ขององค์กร และกระทบต่อความพร้อมใช้งานของระบบ หากถูกโจมตีสำเร็จ
นอกจากช่องโหว่ CVE-2026-0488 แล้ว รายการแพตช์ของ SAP ในรอบนี้ยังรวมถึงช่องโหว่อื่น ๆ ใน SAP NetWeaver AS ABAP และ ABAP Platform (CVE-2026-0509) ซึ่งได้รับคะแนนความรุนแรงสูงรองลงมา และสามารถถูกใช้เลี่ยงระบบควบคุมสิทธิ์เพื่อขยายขอบเขตการโจมตีได้
SAP แจ้งให้ลูกค้าองค์กรตรวจสอบว่าระบบของตนติดตั้งแพตช์ล่าสุดครบถ้วนผ่าน SAP Support Portal พร้อมทั้งทบทวนเส้นทางการเข้าถึงระบบและสิทธิ์ของผู้ใช้งานเพื่อค้นหาพฤติกรรมหรือการใช้งานที่ผิดปกติ ซึ่งเป็นแนวทางสำคัญในการลดความเสี่ยงจากการโจมตีแบบ code injection หรือช่องโหว่อื่นที่อาจถูกนำมาใช้ประโยชน์ได้อย่างรวดเร็ว