เมนู

CISA เตือน !! ช่องโหว่
Oracle E-Business Suite และ SugarCRM

2023-01-Oracle

CVE-2022-21587 (CVSS: 9.8)
ส่งผลกระทบ Oracle Web Applications Desktop Integrator V. 12.2.3 ถึง 12.2.11

CVE-2023-22952(CVSS: 8.8)
ส่งผลกระทบ SugarCRM V. 11.0.0 และ 12.0.0

8 กุมภาพันธ์ 2566

เมื่อวันที่ 2 กุมภาพันธ์ที่ผ่านมา หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 2 รายการ ใน Known Exploited Vulnerabilities (KEV)

ช่องโหว่แรกถูกติดตามเป็นหมายเลข CVE-2022-21587 (CVSS: 9.8) ส่งผลกระทบต่อผลิตภัณฑ์ Oracle Web Applications Desktop Integrator versions 12.2.3 ถึง 12.2.11 ของ Oracle E-Business ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสิทธิ์ในการเข้าใช้งานผ่าน HTTP Protocol จนถึงสามารถควบคุมการทำงานต่างๆ ได้ ซึ่งปัญหาที่เกิดขึ้นได้รับการแก้ไขแล้ว รวมถึงอัปเดตแพตช์ที่สำคัญเพื่อปิดช่องโหว่ดังกล่าวในช่วงเดือนตุลาคม 2565 ที่ผ่านมา

ช่องโหว่ที่สองถูกติดตามเป็นหมายเลข CVE-2023-22952 (CVSS: 8.8) ส่งผลกระทบเรื่องของการตรวจสอบความถูกต้องของ Input ใน SugarCRM ซึ่งเป็นช่องทางให้ผู้โจมตีสามารถโจมตีแบบ Injection ด้วย PHP Code ซึ่งช่องโหว่ที่ได้รับผลกระทบอยู่ใน SugarCRM versions 11.0.0 และ 12.0.0 แนะนำผู้ใช้งานให้อัปเดตแพตช์ SugarCRM เป็น versions 11.0.5 และ 12.0.2


ในการพัฒนานี้เกิดขึ้นหลังจากที่ทาง CISA ได้เพิ่มช่องโหว่ CVE-2017-11357 (CVSS: 9.8) ซึ่งส่งผลกระทบต่อ Telerik UI ทำให้ผู้โจมตีสามารถควบคุมการทำงาน รวมถึงอัปโหลดไฟล์จากระยะไกลได้

อ้างอิง: thehackernews.com

#ข่าวไซเบอร์ #ภัยคุกคาม #ช่องโหว่ #CVE #Oracle #SugarCRM #CISA #KEV #Telerik
#CVE-2022-21587 #CVE-2023-22952 #CVE2017-11357 #Injection #PHP Code
#Known Exploited Vulnerabilities
#Oracle Web Applications Desktop Integrator versions 
#CISA Alert: Oracle E-Business Suite and SugarCRM Vulnerabilities Under Attack