SAP 2025年11月补丁日修复3个关键漏洞（CVSS 10分）— 含代码注入和不安全密钥管理

今日，SAP发布了最新一批安全补丁日更新，提供了18个新的安全说明和两个对先前发布内容的更新。其中，三个关键漏洞尤为突出——包括两个CVSS评分达到10.0的最高分漏洞——这些漏洞影响SQL Anywhere Monitor（非GUI）、SAP NetWeaver AS Java和SAP Solution Manager。

第一个也是最严重的问题CVE-2025-42890，影响SQL Anywhere Monitor（非GUI），这是一个基于Sybase的数据库监控组件。

SAP在公告中表示：“SQL Anywhere Monitor（非GUI）将凭证硬编码在代码中，将资源或功能暴露给非预期用户，并为攻击者提供了任意代码执行的可能性。”

这个获得CVSS 10.0关键评分的漏洞可能允许未经身份验证的攻击者利用硬编码凭证执行任意代码或未经授权访问敏感数据库环境。

SAP警告说：“这可能对系统的机密性、完整性和可用性造成高度影响。”

另一个关键漏洞CVE-2025-42944（CVSS 10分）代表了通过SAP NetWeaver AS Java的RMI-P4模块中不安全反序列化带来的远程代码执行（RCE）风险。这是对2025年10月发布的先前说明的更新，反映了SAP基于Java的系统正在进行的加固工作。

SAP解释说：“由于SAP NetWeaver中的反序列化漏洞，未经身份验证的攻击者可以通过向开放端口提交恶意负载来通过RMI-P4模块利用系统。”

成功利用可能允许攻击者远程执行任意操作系统命令，导致系统完全被攻陷。

说明继续指出：“此类不受信任的Java对象的反序列化可能导致任意操作系统命令执行，对应用程序的机密性、完整性和可用性造成高度影响。”

考虑到SAP NetWeaver AS Java在企业环境中的普遍性，对于具有未修补或暴露在互联网上的RMI端点的组织来说，此漏洞构成了紧迫风险。

第三个关键问题CVE-2025-42887（CVSS 9.9分）影响SAP Solution Manager（版本ST 720），并允许经过身份验证的攻击者通过未正确清理的远程启用函数调用注入和执行任意代码。

SAP详细说明：“由于缺少输入清理，SAP Solution Manager允许经过身份验证的攻击者在调用远程启用函数模块时插入恶意代码。”

此缺陷可能允许攻击者获得系统的完全控制权，影响其机密性、完整性和可用性。

SAP警告说：“这可能为攻击者提供系统的完全控制权，从而导致高度影响。”

除了三个关键漏洞外，SAP还解决了其生态系统中的几个高和中严重性缺陷。其中一些最重要的包括：

• CVE-2025-42940 – SAP CommonCryptoLib中的内存损坏漏洞（CVSS 7.5分）
• CVE-2025-42895 – SAP HANA JDBC客户端中的代码注入（CVSS 6.9分）
• CVE-2025-42892 / CVE-2025-42894 – SAP Business Connector中的操作系统命令注入和路径遍历（CVSS 6.8分）
• CVE-2025-42884 – SAP NetWeaver Enterprise Portal中的JNDI注入（CVSS 6.5分）
• CVE-2025-42924 / CVE-2025-42893 – SAP S/4HANA和SAP Business Connector中的开放重定向漏洞（CVSS 6.1分）
• CVE-2025-42885 – SAP HANA 2.0（hdbrss）中缺少身份验证（CVSS 5.8分）
• CVE-2025-42888 – SAP GUI for Windows中的信息泄露（CVSS 5.5分）
• CVE-2025-42899 / CVE-2025-42882 – SAP S4CORE和SAP NetWeaver ABAP中缺少授权检查（CVSS 4.3分）
• CVE-2025-42883 – SAP NetWeaver ABAP迁移工作台中的不安全文件操作（CVSS 2.7分）