SAP ประกาศการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ระดับ critical 5 รายการ

SAP ผู้จำหน่ายซอฟต์แวร์ ERP ได้ประกาศการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 19 รายการ โดย 5 รายการ เป็นช่องโหว่ที่มีความรุนแรงระดับ critical โดยช่องโหว่ส่งผลกระทบต่อผลิตภัณฑ์ของ SAP จำนวนมาก แต่ช่องโหว่ 5 รายการที่มีความรุนแรงระดับ critical ได้ส่งผลโดยตรงกับ SAP Business Objects Business Intelligence Platform (CMC) และ SAP NetWeaver

SAP เป็นบริษัทจำหน่ายซอฟต์แวร์ ERP รายใหญ่ที่สุดในโลก โดยมีส่วนแบ่งการตลาด 24% ทั่วโลก โดยมีลูกค้า 425,000 รายใน 180 ประเทศ มากกว่า 90% ของบริษัทใน Forbes Global 2000 ใช้ผลิตภัณฑ์ของ SAP เช่น ERP, SCM, PLM และ CRM

ช่องโหว่ระดับ critical ที่ส่งผลกระทบต่อผลิตภัณฑ์ของ SAP

CVE-2023-25616 (คะแนน CVSS v3: 9.9 ระดับความรุนแรง critical) เป็นช่องโหว่ที่ส่งผลกระทบต่อ SAP Business Intelligence Platform ทำให้สามารถเข้าถึงทรัพยากรที่เข้าถึงได้เฉพาะ Privileged User เท่านั้น ช่องโหว่ดังกล่าวกระทบต่อเวอร์ชัน 420 และ 430

CVE-2023-23857 (คะแนน CVSS v3: 9.8 ระดับความรุนแรง critical) เป็นช่องโหว่ที่ส่งผลกระทบต่อ SAP NetWeaver AS สำหรับ Java เวอร์ชัน 7.50 ทำให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิการเชื่อมต่อกับ open interface และ directory API ในการจัดการข้อมูล รวมถึงการ Denial-of-Service (DoS)

CVE-2023-27269 (คะแนน CVSS v3: 9.6 ระดับความรุนแรง critical) เป็นช่องโหว่ใน directory ที่ทำให้สามารถเขียนทับไฟล์ระบบได้ โดยไม่ต้องใช้สิทธิ Admin User ส่งกระทบต่อ SAP NetWeaver Application Server for ABAP เวอร์ชัน 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 และ 791

CVE-2023-27500 (คะแนน CVSS v3: 9.6 ระดับความรุนแรง critical) เป็นช่องโหว่ใน directory ที่ทำให้สามารถโจมตีจากช่องโหว่ใน SAPRSBRO เพื่อเขียนทับไฟล์ระบบ ทำให้เกิดความเสียหายให้กับอุปกรณ์ปลายทางที่มีช่องโหว่ได้ ส่งผลกระทบต่อ SAP NetWeaver Application Server for ABAP เวอร์ชัน 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, และ 757

CVE-2023-25617 (คะแนน CVSS v3: 9.0 ระดับความรุนแรง critical) เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนระบบปฏิบัติการโดยใช้ BI Launchpad, Central Management Console และ custom application บน java SDK ภายใต้เงื่อนไขบางอย่าง ส่งกระทบต่อ SAP Business Objects Business Intelligence Platform เวอร์ชัน 420 และ 430

โดย SAP แนะนำให้ผู้ดูแลระบบควรเร่งอัปเดตเพื่อแก้ไขช่องโหว่โดยเร็วที่สุด โดยเฉพาะช่องโหว่ 5 รายการที่มีความรุนแรงระดับ critical รวมไปถึงช่องโหว่ที่มีระดับความรุนแรงปานกลาง 10 รายการด้วย

 

ที่มา : bleepingcomputer