SAP บริษัทซอฟต์แวร์สัญชาติเยอรมัน ประกาศอัปเดตแพตซ์ช่องโหว่ด้านความปลอดภัย 20 รายการ และอีก 3 รายการที่เป็นส่วนหนึ่งของช่องโหว่ในรอบที่ผ่านมา โดยการอัปเดตครั้งนี้เป็นรอบการอัปเดตในเดือนกรกฎาคม 2022 ซึ่งในการอัปเดตแพตซ์ดังกล่าวจะมีช่องโหว่ 4 รายการที่มีระดับความรุนแรงสูง โดยเป็นช่องโหว่ที่ส่งผลกระทบต่อ SAP BusinessObjects 1 รายการ และช่องโหว่ที่ส่งผลกระทบต่อ Business One อีก 3 รายการ
ช่องโหว่ที่มีความรุนแรงที่สุดคือ CVE-2022-35228 (คะแนน CVSS 8.3) ซึ่งเป็นช่องโหว่ information disclosure ใน central management console ที่ส่งผลกระทบต่อ SAP BusinessObjects Business Intelligence Platform
โดยบริษัทรักษาความปลอดภัยซอฟต์แวร์ Onapsis อธิบายว่าช่องโหว่ดังกล่าวทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถได้รับ token information จากเครือข่ายของเหยื่อได้ แต่การโจมตีดังกล่าวผู้โจมตีจะต้องใช้ชื่อผู้ใช้งานที่มีอยู่บนระบบในการเข้าถึงแอปพลิเคชัน
ช่องโหว่ถัดมาเป็นช่องโหว่แรกที่ส่งผลกระทบต่อ Business One คือ CVE-2022-32249 ซึ่งเป็นช่องโหว่ information disclosure ที่ทำให้ผู้โจมตีที่มีสิทธิ์สูงสามารถเข้าถึงข้อมูลที่มีความสำคัญอย่างเช่น credentials ได้ ซึ่งทำให้ผู้โจมตีสามารถนำไปใช้ในการโจมตีครั้งถัดๆไปได้
ช่องโหว่ที่สองคือ CVE-2022-28771 เป็นช่องโหว่ missing authorization check ซึ่งจะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเข้าถึงแอปพลิเคชันได้ โดยการส่ง malicious HTTP requests ผ่านเครือข่ายของเหยื่อ
ช่องโหว่ที่สามคือ CVE-2022-31593 เป็นช่องโหว่ code injection ที่ทำให้ผู้โจมตีที่มีสิทธิ์ต่ำ สามารถควบคุมการทำงานของแอปพลิเคชันได้
ส่วนช่องโหว่อื่นๆอีก 17 รายการเป็นช่องโหว่ที่มีระดับความรุนแรงปานกลาง ส่วนใหญ่จะส่งผลกระทบต่อ NetWeaver Enterprise Portal และ Business Objects
โดย 6 รายการจะเป็นช่องโหว่ cross-site scripting (XSS) ใน NetWeaver Enterprise Portal ซึ่งทั้งหมดมีคะแนน CVSS 6.1 และอีก 5 รายการที่มีระดับความรุนแรงปานกลางใน Business Objects ส่วนช่องโหว่ที่มีระดับความรุนแรงปานกลางที่เหลือจะเป็นช่องโหว่ใน SAPS/4HANA, EA-DFPS, ABAP Platform และ Business One
ที่มา : securityweek