212/68 (IT) ประจำวันพฤหัสบดีที่ 12 มิถุนายน 2568
SAP ออกแพตช์อัปเดตด้านความปลอดภัยประจำเดือนมิถุนายน 2025 โดยหนึ่งในช่องโหว่ที่สำคัญคือ CVE-2025-42989 มีคะแนน CVSS สูงถึง 9.6 ซึ่งเป็นช่องโหว่ระดับ Critical บนระบบ SAP NetWeaver ที่ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนสามารถข้ามกระบวนการตรวจสอบสิทธิ์ (Authorization) และยกระดับสิทธิ์ (Privilege Escalation) ได้โดยไม่ถูกตรวจจับ ส่งผลกระทบต่อทั้งความถูกต้องของข้อมูล (Integrity) และความพร้อมใช้งานของระบบ (Availability) โดยช่องโหว่นี้อยู่ใน Remote Function Call (RFC) framework ของ SAP NetWeaver Application Server (AS ABAP) โดยแพตช์จาก SAP Note หมายเลข 3600840 ระบุว่าช่องโหว่เกิดจากการไม่ตรวจสอบสิทธิ์ที่จำเป็นบน object S_RFC เมื่อใช้งาน tRFC (Transactional RFC) หรือ qRFC (Queued RFC) ที่เปิดโอกาสให้ผู้โจมตีสามารถรันฟังก์ชันโดยไม่ได้รับอนุญาต ทำให้สามารถควบคุมการทำงานของระบบได้ แม้จะผ่านการยืนยันตัวตนในระดับทั่วไปเท่านั้น
นอกจากนี้ SAP ยังได้แก้ไขช่องโหว่ระดับ High Severity อีก 5 รายการ ได้แก่
– CVE-2025-42982 (CVSS 8.8): Information Disclosure ใน SAP GRC (AC Plugin)
– CVE-2025-42983 (CVSS 8.5): ขาดการตรวจสอบสิทธิ์ใน SAP Business Warehouse และ SAP Plug-In Basis
– CVE-2025-23192 (CVSS 8.2): ช่องโหว่ Cross-Site Scripting (XSS) ใน SAP BusinessObjects BI Workspace
– CVE-2025-42977 (CVSS 7.6): ช่องโหว่ Directory Traversal บน SAP NetWeaver Visual Composer
– CVE-2025-42994 (CVSS 7.5): ช่องโหว่หลายรายการใน SAP MDM Server
SAP ไม่ได้รายงานว่ามีการนำช่องโหว่เหล่านี้ไปใช้โจมตีจริงในขณะนี้ แต่แนะนำให้เร่งอัปเดตแพตช์โดยเร็วเพื่อป้องกันความเสี่ยงจากการถูกโจมตี
