SAP ประกาศเเพตซ์เเก้ไขช่องโหว่จำนวน 21 รายการ ในเเพตซ์ประจำเดือนตุลาคม 2020

SAP ได้ประกาศเเพตซ์เเก้ไข SAP Security Patch Day ประจำเดือนตุลาคม ซึ่งในเดือนตุลาคม 2020 นี้ได้ออกเเพตซ์เเก้ไขความปลอดภัยจำนวน 21 รายการ โดยช่องโหว่ที่มีความสำคัญและถูกเเก้ไขมีดังนี้

ช่องโหว่ CVE-2020-6364 (CVSSv3: 10/10) เป็นช่องโหว่ของ OS Command Injection ใน CA Introscope Enterprise Manager ช่องโหว่จะช่วยให้ผู้โจมตีสามารถแก้ไขคุกกี้ในลักษณะที่สามารถเรียกใช้คำสั่ง OS Command Injection และอาจทำให้ผู้โจมตีสามารถเข้าควบคุมโฮสต์ที่เรียกใช้ CA Introscope Enterprise Manager ช่องโหว่นี้จะส่งผลกระทบกับ SAP Solution Manager และ SAP Focused Run เวอร์ชัน 9.7, 10.1, 10.5, 10.7
ช่องโหว่ยังไม่ระบุ CVE เเต่มี CVSS ระดับ 9.8/10 โดยช่องโหว่จะส่งกระทบกับผลิตภัณฑ์ SAP Business Client เวอร์ชัน 6.5
ช่องโหว่ CVE-2020-6296 (CVSSv3: 8.3/10) เป็นช่องโหว่ Code Injection โดยช่องโหว่จะช่วยให้ผู้โจมตีสามารถทำการ Code Injection ไปยังแอปพลิเคชันที่เรียกใช้งานได้ ซึ่งจะทำให้ผู้โจมตีสามารถควบคุมพฤติกรรมของแอปพลิเคชันได้ ช่องโหว่นี้จะส่งผลกระทบกับผลิตภัณฑ์ SAP NetWeaver (ABAP) และ ABAP Platform เวอร์ชัน 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 753, 755
ช่องโหว่ CVE-2020-6367 (CVSSv3: 8.2/10) เป็นช่องโหว่ Cross-Site Scripting (XSS) ใน SAP NetWeaver Composite Application Framework เวอร์ชัน 7.20, 7.30, 7.31, 7.40, 7.50

ทั้งนี้ผู้ดูแลระบบและผู้ใช้งานควรรีบทำการอัปเดตเเพตซ์เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ นอกจากนี้ผู้ที่สนใจรายละเอียดของโหว่โหว่เพิ่มเติมสามารถดูได้ที่แหล่งที่มา

ที่มา: wiki.