463/68 (IT) ประจำวันพฤหัสบดีที่ 13 พฤศจิกายน 2568
SAP ได้ออกแพตช์อัปเดตด้านความปลอดภัยประจำเดือนพฤศจิกายน 2025 เพื่อแก้ไขช่องโหว่รวม 19 รายการ โดยหนึ่งในนั้นมีช่องโหว่ระดับ Critical (CVSS 10.0) หมายเลข CVE-2025-42890 อยู่ในผลิตภัณฑ์ SQL Anywhere Monitor (Non-GUI) ซึ่งช่องโหว่นี้เกิดจากการจัดการ Key และ Secret ที่ไม่ปลอดภัย เนื่องจากมีการฝังข้อมูลประจำตัว (Hardcoded Credentials) ภายในโค้ด ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงระบบและเรียกใช้โค้ดจากระยะไกลได้โดยไม่ได้รับอนุญาต ที่อาจส่งกระทบต่อความลับ (Confidentiality) ความถูกต้อง (Integrity) และความพร้อมใช้งาน (Availability) ของระบบโดยตรง
เอกสาร Security Advisory ของ SAP ระบุว่า SQL Anywhere Monitor มีการฝังข้อมูลรับรองไว้ภายในโค้ด ส่งผลให้ผู้โจมตีสามารถเข้าถึงฟังก์ชันที่ควรถูกจำกัดและสามารถเรียกใช้โค้ดอันตรายได้ โดยผู้เชี่ยวชาญแนะนำให้หยุดใช้งาน SQL Anywhere Monitor ชั่วคราว และลบฐานข้อมูล Monitor ที่มีอยู่ทั้งหมด เพื่อป้องกันการโจมตีระหว่างรอการอัปเดต ทั้งนี้ SAP ยังได้แก้ไขช่องโหว่ร้ายแรงอีกหนึ่งรายการหมายเลข CVE-2025-42887 (CVSS 9.9) ใน SAP Solution Manager ซึ่งเป็นช่องโหว่ประเภท Code Injection ที่เกิดจากการขาดการตรวจสอบข้อมูลนำเข้า (Input Sanitization) ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถแทรกโค้ดอันตรายระหว่างการเรียกใช้ฟังก์ชันแบบ Remote-enabled ได้
นอกจากนี้ SAP ยังได้อัปเดต Security Note จากเดือนตุลาคม 2025 ที่เกี่ยวข้องกับช่องโหว่ Insecure Deserialization (CVE-2025-42944) ใน SAP NetWeaver AS Java ซึ่งเป็นการอัปเดตด้านการเพิ่มความแข็งแกร่งของระบบ (Security Hardening) โดยขณะนี้ยังไม่พบรายงานการโจมตี (in the wild) ที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่แนะนำให้ผู้ดูแลระบบทุกหน่วยงานตรวจสอบและอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดโดยทันที เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น
