SAP แก้ไขช่องโหว่ร้ายแรงสองรายการ (CVE-2024-39592, CVE-2024-39597) และช่องโหว่ระดับกลางอีก 15 รายการในผลิตภัณฑ์หลายตัว แนะนำให้อัปเดตทันที
SAP ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนกรกฎาคม 2024 โดยแก้ไขช่องโหว่จำนวน 18 รายการ รวมถึงช่องโหว่ร้ายแรงสองรายการและช่องโหว่ระดับกลางอีก 15 รายการ ซึ่งอาจเสี่ยงต่อระบบหากไม่ได้รับการแก้ไข
ช่องโหว่ร้ายแรงที่สำคัญ
CVE-2024-39592 (CVSS 7.7):
กระทบ SAP Product Design Cost Estimating (PDCE)
เกิดจากการขาดการตรวจสอบสิทธิ์ อาจทำให้ผู้โจมตีเข้าถึงฐานข้อมูลทั่วไปและข้อมูลสำคัญได้
CVE-2024-39597 (CVSS 7.2):
กระทบ SAP Commerce
เกิดจากการตรวจสอบสิทธิ์ที่ไม่เหมาะสม อาจทำให้ผู้โจมตีใช้ฟังก์ชัน "ลืมรหัสผ่าน" เพื่อเข้าถึงเว็บไซต์ที่ไม่ได้รับอนุญาตในนามของผู้ดูแลร้านค้า
ช่องโหว่อื่น ๆ
อัปเดตยังครอบคลุมช่องโหว่ระดับกลาง 15 รายการในผลิตภัณฑ์ เช่น SAP Landscape Management, Document Builder, NetWeaver, CRM, Business Warehouse, S/4HANA และอื่น ๆ ซึ่งรวมถึง:
การเปิดเผยข้อมูล
การอัปโหลดไฟล์ที่ไม่จำกัด
ช่องโหว่ Cross-site scripting (XSS)
การโจมตี Server-side request forgery (SSRF)
คำแนะนำ
SAP แนะนำให้อัปเดตแพตช์เหล่านี้ทันที แม้จะยังไม่มีรายงานการโจมตีช่องโหว่เหล่านี้ในโลกจริง แต่แนวโน้มในอดีตชี้ว่าผู้โจมตียังคงพุ่งเป้าช่องโหว่ที่ได้รับการเผยแพร่ องค์กรควรให้ความสำคัญกับการติดตั้งอัปเดตเหล่านี้เพื่อปกป้องระบบและข้อมูล
ดูข้อมูลเพิ่มเติมได้จากอัปเดตความปลอดภัยของ SAP และตรวจสอบให้แน่ใจว่าการดำเนินการทั้งหมดเป็นไปตามนโยบายการจัดการการเปลี่ยนแปลงขององค์กร
Greenwill Solution พร้อมให้บริการด้าน Patch Management เพื่อช่วยปกป้องระบบของคุณ ติดต่อเราเพื่อขอคำปรึกษาและปกป้องระบบ SAP ของคุณได้ทันที
Comments