ข่าวด่วน: SAP ออกแพตช์ประจำเดือน พ.ย. 2025 แก้ช่องโหว่ร้ายแรง 3 จุด
SAP ได้ปล่อยอัปเดต Security Patch Day ประจำเดือนพฤศจิกายน 2025 โดยมีการแก้ไขช่องโหว่รวม 18 รายการ และอัปเดตเพิ่มเติมอีก 2 รายการ แต่ที่น่าจับตามากที่สุดคือ 3 ช่องโหว่ร้ายแรงระดับ Critical ซึ่งมีคะแนน CVSS สูงสุดถึง 10.0
รายละเอียดช่องโหว่สำคัญ
CVE-2025-42890 (CVSS 10.0) พบใน SQL Anywhere Monitor (Non-GUI) มีการฝัง credentials ไว้ในโค้ด ทำให้ผู้โจมตีสามารถใช้เพื่อรันโค้ดอันตรายหรือเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาต
CVE-2025-42944 (CVSS 10.0) ช่องโหว่ Remote Code Execution (RCE) จากการ Insecure Deserialization ใน SAP NetWeaver AS Java (RMI-P4 module) ผู้โจมตีสามารถส่ง payload อันตรายไปยังพอร์ตที่เปิดอยู่ และรันคำสั่ง OS ได้ทันที
CVE-2025-42887 (CVSS 9.9) พบใน SAP Solution Manager (ST 720) ช่องโหว่จากการ Missing Input Sanitization ทำให้ผู้โจมตีที่มีสิทธิ์สามารถ inject โค้ดและเข้าควบคุมระบบได้เต็มรูปแบบ
ช่องโหว่อื่น ๆ ที่ถูกแก้ไข
Memory Corruption ใน SAP CommonCryptoLib (CVSS 7.5)
Code Injection ใน SAP HANA JDBC Client (CVSS 6.9)
OS Command Injection และ Path Traversal ใน SAP Business Connector (CVSS 6.8)
JNDI Injection ใน SAP NetWeaver Enterprise Portal (CVSS 6.5)
Open Redirect ใน SAP S/4HANA และ SAP Business Connector (CVSS 6.1)
Missing Authentication ใน SAP HANA 2.0 (CVSS 5.8)
Information Disclosure ใน SAP GUI for Windows (CVSS 5.5)
ความสำคัญต่อโลกไซเบอร์
SAP เป็นระบบที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ทั่วโลก โดยเฉพาะในด้าน ERP, การเงิน, และการจัดการธุรกิจ ช่องโหว่ระดับ Critical ที่เปิดทางให้ทำ RCE หรือ Code Injection ถือเป็นภัยคุกคามสูงสุด เพราะสามารถนำไปสู่การยึดระบบ, การรั่วไหลข้อมูล, และการโจมตีต่อเนื่องในเครือข่ายองค์กร
ช่องโหว่ร้ายแรงที่ถูกแก้ไข
CVE-2025-42890: Hard-coded credentials ใน SQL Anywhere Monitor
CVE-2025-42944: RCE ผ่าน insecure deserialization ใน SAP NetWeaver AS Java
CVE-2025-42887: Code Injection ใน SAP Solution Manager
ช่องโหว่อื่น ๆ ที่ถูกแก้ไข
Memory Corruption, Code Injection, OS Command Injection, JNDI Injection, Open Redirect, Missing Authentication, Information Disclosure
การแก้ไขจาก SAP
ปล่อยแพตช์รวม 18 รายการ + อัปเดต 2 รายการ
ครอบคลุมทั้ง SQL Anywhere, NetWeaver, Solution Manager และระบบอื่น ๆ
คำเตือนสำหรับองค์กรที่ใช้ SAP
หากไม่อัปเดต อาจถูกโจมตีแบบ RCE และสูญเสียการควบคุมระบบ
เสี่ยงต่อการรั่วไหลข้อมูลธุรกิจสำคัญ
อาจถูกใช้เป็นฐานโจมตีเครือข่ายองค์กร
https://securityonline.info/sap-november-2025-patch-day-fixes-3-critical-flaws-cvss-10-including-code-injection-and-insecure-key-management/
SAP ได้ปล่อยอัปเดต Security Patch Day ประจำเดือนพฤศจิกายน 2025 โดยมีการแก้ไขช่องโหว่รวม 18 รายการ และอัปเดตเพิ่มเติมอีก 2 รายการ แต่ที่น่าจับตามากที่สุดคือ 3 ช่องโหว่ร้ายแรงระดับ Critical ซึ่งมีคะแนน CVSS สูงสุดถึง 10.0
รายละเอียดช่องโหว่สำคัญ
CVE-2025-42890 (CVSS 10.0) พบใน SQL Anywhere Monitor (Non-GUI) มีการฝัง credentials ไว้ในโค้ด ทำให้ผู้โจมตีสามารถใช้เพื่อรันโค้ดอันตรายหรือเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาต
CVE-2025-42944 (CVSS 10.0) ช่องโหว่ Remote Code Execution (RCE) จากการ Insecure Deserialization ใน SAP NetWeaver AS Java (RMI-P4 module) ผู้โจมตีสามารถส่ง payload อันตรายไปยังพอร์ตที่เปิดอยู่ และรันคำสั่ง OS ได้ทันที
CVE-2025-42887 (CVSS 9.9) พบใน SAP Solution Manager (ST 720) ช่องโหว่จากการ Missing Input Sanitization ทำให้ผู้โจมตีที่มีสิทธิ์สามารถ inject โค้ดและเข้าควบคุมระบบได้เต็มรูปแบบ
ช่องโหว่อื่น ๆ ที่ถูกแก้ไข
Memory Corruption ใน SAP CommonCryptoLib (CVSS 7.5)
Code Injection ใน SAP HANA JDBC Client (CVSS 6.9)
OS Command Injection และ Path Traversal ใน SAP Business Connector (CVSS 6.8)
JNDI Injection ใน SAP NetWeaver Enterprise Portal (CVSS 6.5)
Open Redirect ใน SAP S/4HANA และ SAP Business Connector (CVSS 6.1)
Missing Authentication ใน SAP HANA 2.0 (CVSS 5.8)
Information Disclosure ใน SAP GUI for Windows (CVSS 5.5)
ความสำคัญต่อโลกไซเบอร์
SAP เป็นระบบที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ทั่วโลก โดยเฉพาะในด้าน ERP, การเงิน, และการจัดการธุรกิจ ช่องโหว่ระดับ Critical ที่เปิดทางให้ทำ RCE หรือ Code Injection ถือเป็นภัยคุกคามสูงสุด เพราะสามารถนำไปสู่การยึดระบบ, การรั่วไหลข้อมูล, และการโจมตีต่อเนื่องในเครือข่ายองค์กร
ช่องโหว่ร้ายแรงที่ถูกแก้ไข
CVE-2025-42890: Hard-coded credentials ใน SQL Anywhere Monitor
CVE-2025-42944: RCE ผ่าน insecure deserialization ใน SAP NetWeaver AS Java
CVE-2025-42887: Code Injection ใน SAP Solution Manager
ช่องโหว่อื่น ๆ ที่ถูกแก้ไข
Memory Corruption, Code Injection, OS Command Injection, JNDI Injection, Open Redirect, Missing Authentication, Information Disclosure
การแก้ไขจาก SAP
ปล่อยแพตช์รวม 18 รายการ + อัปเดต 2 รายการ
ครอบคลุมทั้ง SQL Anywhere, NetWeaver, Solution Manager และระบบอื่น ๆ
คำเตือนสำหรับองค์กรที่ใช้ SAP
หากไม่อัปเดต อาจถูกโจมตีแบบ RCE และสูญเสียการควบคุมระบบ
เสี่ยงต่อการรั่วไหลข้อมูลธุรกิจสำคัญ
อาจถูกใช้เป็นฐานโจมตีเครือข่ายองค์กร
https://securityonline.info/sap-november-2025-patch-day-fixes-3-critical-flaws-cvss-10-including-code-injection-and-insecure-key-management/
🛡️ ข่าวด่วน: SAP ออกแพตช์ประจำเดือน พ.ย. 2025 แก้ช่องโหว่ร้ายแรง 3 จุด
SAP ได้ปล่อยอัปเดต Security Patch Day ประจำเดือนพฤศจิกายน 2025 โดยมีการแก้ไขช่องโหว่รวม 18 รายการ และอัปเดตเพิ่มเติมอีก 2 รายการ แต่ที่น่าจับตามากที่สุดคือ 3 ช่องโหว่ร้ายแรงระดับ Critical ซึ่งมีคะแนน CVSS สูงสุดถึง 10.0
📌 รายละเอียดช่องโหว่สำคัญ
🪲 CVE-2025-42890 (CVSS 10.0) ➡️ พบใน SQL Anywhere Monitor (Non-GUI) ➡️ มีการฝัง credentials ไว้ในโค้ด ทำให้ผู้โจมตีสามารถใช้เพื่อรันโค้ดอันตรายหรือเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาต
🪲 CVE-2025-42944 (CVSS 10.0) ➡️ ช่องโหว่ Remote Code Execution (RCE) จากการ Insecure Deserialization ใน SAP NetWeaver AS Java (RMI-P4 module) ➡️ ผู้โจมตีสามารถส่ง payload อันตรายไปยังพอร์ตที่เปิดอยู่ และรันคำสั่ง OS ได้ทันที
🪲 CVE-2025-42887 (CVSS 9.9) ➡️ พบใน SAP Solution Manager (ST 720) ➡️ ช่องโหว่จากการ Missing Input Sanitization ทำให้ผู้โจมตีที่มีสิทธิ์สามารถ inject โค้ดและเข้าควบคุมระบบได้เต็มรูปแบบ
🛠️ ช่องโหว่อื่น ๆ ที่ถูกแก้ไข
🪛 Memory Corruption ใน SAP CommonCryptoLib (CVSS 7.5)
🪛 Code Injection ใน SAP HANA JDBC Client (CVSS 6.9)
🪛 OS Command Injection และ Path Traversal ใน SAP Business Connector (CVSS 6.8)
🪛 JNDI Injection ใน SAP NetWeaver Enterprise Portal (CVSS 6.5)
🪛 Open Redirect ใน SAP S/4HANA และ SAP Business Connector (CVSS 6.1)
🪛 Missing Authentication ใน SAP HANA 2.0 (CVSS 5.8)
🪛 Information Disclosure ใน SAP GUI for Windows (CVSS 5.5)
🌍 ความสำคัญต่อโลกไซเบอร์
SAP เป็นระบบที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ทั่วโลก โดยเฉพาะในด้าน ERP, การเงิน, และการจัดการธุรกิจ ช่องโหว่ระดับ Critical ที่เปิดทางให้ทำ RCE หรือ Code Injection ถือเป็นภัยคุกคามสูงสุด เพราะสามารถนำไปสู่การยึดระบบ, การรั่วไหลข้อมูล, และการโจมตีต่อเนื่องในเครือข่ายองค์กร
✅ ช่องโหว่ร้ายแรงที่ถูกแก้ไข
➡️ CVE-2025-42890: Hard-coded credentials ใน SQL Anywhere Monitor
➡️ CVE-2025-42944: RCE ผ่าน insecure deserialization ใน SAP NetWeaver AS Java
➡️ CVE-2025-42887: Code Injection ใน SAP Solution Manager
✅ ช่องโหว่อื่น ๆ ที่ถูกแก้ไข
➡️ Memory Corruption, Code Injection, OS Command Injection, JNDI Injection, Open Redirect, Missing Authentication, Information Disclosure
✅ การแก้ไขจาก SAP
➡️ ปล่อยแพตช์รวม 18 รายการ + อัปเดต 2 รายการ
➡️ ครอบคลุมทั้ง SQL Anywhere, NetWeaver, Solution Manager และระบบอื่น ๆ
‼️ คำเตือนสำหรับองค์กรที่ใช้ SAP
⛔ หากไม่อัปเดต อาจถูกโจมตีแบบ RCE และสูญเสียการควบคุมระบบ
⛔ เสี่ยงต่อการรั่วไหลข้อมูลธุรกิจสำคัญ
⛔ อาจถูกใช้เป็นฐานโจมตีเครือข่ายองค์กร
https://securityonline.info/sap-november-2025-patch-day-fixes-3-critical-flaws-cvss-10-including-code-injection-and-insecure-key-management/
0 Comments
0 Shares
26 Views
0 Reviews
Thai