安全公告
NCSC-2025-0323 [1.0.0]
发布信息
- 发布日期: 2025年10月17日 10:04 (欧洲/阿姆斯特丹)
- 优先级: 普通
- 涉及内容: SAP产品中已修复的漏洞
漏洞特征
- 输入验证不当
- 路径遍历限制不当(路径遍历)
- 路径遍历:’…/…//'
- 网页生成期间输入中和不当(跨站脚本)
- 代码生成控制不当(代码注入)
- 可观察的响应差异
- 跨站请求伪造(CSRF)
- 不受控制的资源消耗
- 无限制上传危险类型文件
- 空指针解引用
- 敏感系统信息暴露给未授权控制域
- 不可信数据反序列化
- 无限制或节流的资源分配
- 授权不正确
- 敏感Cookie未设置HttpOnly标志
漏洞描述
SAP已在多个SAP产品中修复了安全漏洞。这些漏洞包括一个反序列化漏洞,允许未经身份验证的攻击者执行任意操作系统命令;以及一个CSRF漏洞,允许经过身份验证的攻击者绕过关键授权控制。此外,还存在导致未经授权访问敏感ABAP代码的漏洞,以及无需适当授权即可删除处理规则的能力。这些漏洞可能对应用程序的完整性和机密性造成严重后果。
解决方案
SAP已发布更新以修复这些漏洞。更多信息请参阅附带的参考资料。
CVE编号
- CVE-2025-42944 - CVSS (v4) 9.3
- CVE-2025-42937 - CVSS (v4) 6.9
- CVE-2025-42910 - CVSS (v4) 5.3
- CVE-2025-5115 - CVSS (v4) 7.7
- CVE-2025-48913 - CVSS (v4) 6.3
- CVE-2025-0059 - CVSS (v3) 6.0
- CVE-2025-42901 - CVSS (v4) 5.1
- CVE-2025-42908 - CVSS (v4) 5.3
- CVE-2025-42906 - CVSS (v4) 6.9
- CVE-2025-42902 - CVSS (v4) 6.9
- CVE-2025-42939 - CVSS (v4) 5.3
- CVE-2025-31331 - CVSS (v3) 4.3
- CVE-2025-42903 - CVSS (v4) 5.3
- CVE-2025-31672 - CVSS (v4) 6.9
- CVE-2025-42909 - CVSS (v4) 6.3
受影响产品
- SAP
- ABAP应用服务器
- 云设备库设备
- Commerce Cloud
- 金融服务索赔管理
- NetWeaver ABAP应用服务器
- Netweaver
- Netweaver AS ABAP和ABAP平台
- 打印服务
- S4HANA
- SAP Commerce Cloud
- 供应商关系管理
免责声明
荷兰国家网络安全中心(以下简称:NCSC-NL)维护此页面以增强对其信息和安全公告的访问。使用此安全公告需遵守以下条款和条件:
NCSC-NL尽一切合理努力确保此页面内容保持最新、准确和完整。然而,NCSC-NL不能完全排除错误的可能性,因此不能保证其完整性、准确性或持续更新。此安全公告中包含的信息仅用于向专业用户提供一般信息。不得从所提供的信息中衍生任何权利。
NCSC-NL和荷兰王国对因使用或无法使用此安全公告而导致的任何损害不承担任何法律责任或义务。这包括因公告中信息不准确或不完整而造成的损害。
此安全公告受荷兰法律管辖。与使用此公告相关或由此产生的所有争议将提交给海牙有管辖权的法院。此选择方式也适用于简易程序法院。