CVE-2025-42890 - SQL Anywhere Monitor(非图形界面)密钥与秘密管理不安全漏洞
概述
SQL Anywhere Monitor(非图形界面版本)存在将凭证硬编码到代码中的安全问题,这会将资源或功能暴露给非预期用户,并为攻击者提供任意代码执行的可能性。此漏洞可能对系统的机密性、完整性和可用性造成严重影响。
漏洞详情
发布日期:2025年11月11日 01:15
最后修改:2025年11月11日 01:15
远程利用:是
漏洞来源:cna@sap.com
CVSS评分
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 10.0 | CVSS 3.1 | 严重 | - | 3.9 | 6.0 | cna@sap.com |
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 受影响产品总数:0
解决方案
- 从代码中移除硬编码的凭证
- 实施安全的认证机制
- 限制对关键资源的访问
- 定期审计系统访问权限
相关参考资源
| URL | 资源描述 |
|---|---|
| https://me.sap.com/notes/3666261 | SAP安全说明 |
| https://url.sap/sapsecuritypatchday | SAP安全补丁日 |
CWE关联
CWE-798:使用硬编码凭证
CAPEC攻击模式
- CAPEC-70:尝试常见或默认用户名和密码
- CAPEC-191:在可执行文件中读取敏感常量
漏洞时间线
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | SQL Anywhere Monitor(非图形界面)将凭证硬编码到代码中… |
| 新增 | CVSS V3.1 | - | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| 新增 | CWE | - | CWE-798 |
| 新增 | 参考 | - | https://me.sap.com/notes/3666261 |
| 新增 | 参考 | - | https://url.sap/sapsecuritypatchday |
相关新闻
CybersecurityNews - SAP安全更新:修复允许代码执行和注入攻击的关键漏洞
SAP发布了每月安全补丁日更新,解决了18个新的安全说明,并对现有两个说明进行了更新,重点关注可能实现远程代码执行的漏洞…
发布日期:2025年11月11日(2小时7分钟前)