335/68 (IT) ประจำวันพฤหัสบดีที่ 11 กันยายน 2568
SAP ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่หลายรายการ โดยรวมถึงช่องโหว่ระดับ Critical จำนวน 3 รายการที่ส่งผลกระทบต่อ SAP NetWeaver และอีก 1 รายการ เป็นช่องโหว่ระดับ High ใน SAP S/4HANA โดยมีรายละเอียดของช่องโหว่ดังนี้
– CVE-2025-42944 (CVSS 10.0) : ช่องโหว่ Insecure Deserialization บนโมดูล RMI-P4 ที่ทำให้ผู้โจมตีส่ง Payload อันตรายไปยังพอร์ตที่เปิดอยู่และรันคำสั่งระบบปฏิบัติการโดยไม่ต้องยืนยันตัวตน
– CVE-2025-42922 (CVSS 9.9) : ช่องโหว่ Insecure File Operations ใน NetWeaver AS Java ที่ทำให้ผู้ใช้ที่ไม่ใช่ Admin สามารถอัปโหลดและรันไฟล์อันตรายได้
– CVE-2025-42958 (CVSS 9.1) : ช่องโหว่ Missing Authentication Check ใน SAP NetWeaver บน IBM i-series ที่ทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถอ่าน แก้ไข หรือลบข้อมูลสำคัญ รวมถึงเข้าถึงฟังก์ชัน Admin ได้
– CVE-2025-42916 (CVSS 8.1) : ช่องโหว่ Missing Input Validation ใน SAP S/4HANA ที่เปิดโอกาสให้ผู้โจมตีที่มีสิทธิ์สูงลบข้อมูลจากตารางฐานข้อมูลได้ หากไม่มีการป้องกันด้วย Authorization Group
นอกจากนี้ ช่องโหว่ CVE-2025-42957 (CVSS 9.9) ใน S/4HANA ซึ่งถูกแพตช์ไปเมื่อเดือนสิงหาคมที่ผ่านมา ได้รับการยืนยันว่ามีการนำไปใช้โจมตี (Active Exploitationแม้ขณะนี้ยังไม่มีรายงานว่าช่องโหว่ใหม่ถูกนำไปโจมตี แต่ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้องค์กร รีบติดตั้งแพตช์ล่าสุดทันที เพื่อป้องกันความเสี่ยงในการถูกโจมตี
แหล่งข่าว https://thehackernews.com/2025/09/sap-patches-critical-netweaver-cvss-up.html
