ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยพบว่า SAP ได้ออกอัปเดตความปลอดภัยประจำเดือนพฤษภาคม 2569 เพื่อแก้ไขช่องโหว่หลายรายการ โดยมี 2 ช่องโหว่ระดับ Critical ที่กระทบ SAP Commerce Cloud และ SAP S/4HANA เสี่ยงถูกสั่งรันคำสั่งบนเซิร์ฟเวอร์ หรือทำให้บริการหยุดชะงักได้ หากยังไม่ได้อัปเดตแพตช์ตามคำแนะนำของผู้ผลิต[1]
1. รายละเอียดช่องโหว่่ที่สำคัญ
1.1 CVE-2026-34263 (CVSS 3.1: 9.6)[2] ใน SAP Commerce Cloud (Configuration) เป็นช่องโหว่ Missing Authentication Check โดยเกิดจากการตั้งค่า Spring Security ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีที่ยังไม่ผ่านการยืนยันตัวตนสามารถอัปโหลดการตั้งค่าที่เป็นอันตรายและทำ code injection ได้ ซึ่งอาจนำไปสู่การรันโค้ดบนเซิร์ฟเวอร์และกระทบต่อความลับ ความถูกต้อง และความพร้อมใช้งานของระบบ
1.2 CVE-2026-34260 (CVSS 3.1: 9.6)[3] ใน SAP S/4HANA (SAP Enterprise Search for ABAP) เป็นช่องโหว่ SQL Injection เกิดจากการตรวจสอบและกรองข้อมูลนำเข้าไม่เพียงพอ ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถแทรกคำสั่ง SQL ผ่านข้อมูลนำเข้าที่ผู้โจมตีควบคุมได้ และอาจเข้าถึงข้อมูลสำคัญในฐานข้อมูลหรือทำให้แอปพลิเคชันหยุดทำงานได้
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
2.1 SAP Commerce cloud
– HY_COM 2205, COM_CLOUD 2211, 2211-JDK21
2.2 SAP S/4HANA (SAP Enterprise Search for ABAP)
– SAP_BASIS 751, 752, 753, 754, 755, 756, 757, 758, 816
3. แนวทางการแก้ไข
3.1 ดำเนินการติดตั้ง SAP Security Notes ที่เกี่ยวข้องกับ CVE-2026-34260 และ CVE-2026-34263 ทันที
3.2 หลังอัปเดต ควรตรวจสอบ log กิจกรรมการอัปโหลดการตั้งค่า การเข้าถึงข้อมูลผิดปกติ และเหตุการณ์ที่บ่งชี้การใช้คำสั่ง SQL หรือ OS command ที่ไม่ปกติ เพื่อคัดกรองความเป็นไปได้ของการถูกโจมตีก่อนหน้า
4. คำแนะนำด้านความปลอดภัยเพิ่มเติม[4][5]
4.1 จำกัดการเข้าถึงระบบบริหารจัดการ คอนโซลที่เกี่ยวข้องด้วย VPN + MFA + IP Allowlist เท่าที่จำเป็น
4.2 ทบทวนสิทธิ์ผู้ใช้ตามหลัก Least Privilege โดยเฉพาะบัญชีที่เข้าถึง Enterprise Search การตั้งค่า Commerce Cloud เพื่อลดความเสี่ยงกรณีบัญชีถูกนำไปใช้โจมตี
แหล่งอ้างอิง