近日,據(jù)國(guó)外媒體報(bào)道:SAP 修補(bǔ)了 18 個(gè)系統(tǒng)安全漏洞!
?SAP發(fā)布了2025年4月補(bǔ)丁日安全公告,修復(fù)了18個(gè)漏洞。其中三項(xiàng)被視為至關(guān)重要,包括 SAP S/4HANA(私有云)和 SAP Landscape Transformation 中的代碼注入可能性,兩者的 CVSS 評(píng)分均為 9.9。另一個(gè)嚴(yán)重問(wèn)題涉及 SAP Financial Consolidation 中的身份驗(yàn)證繞過(guò),CVSS 評(píng)分為 9.8。 SAP 建議客戶的 IT 管理員驗(yàn)證其系統(tǒng)是否受到影響并及時(shí)打上補(bǔ)丁。SAP 有專門的安全部門,里面有很多安全方面的專家。比如下面這位在德國(guó)工作的中國(guó)同事,在安全方面就有很深的造詣。SAP于本周二 (2025 年 4 月 8 日)發(fā)布了四月補(bǔ)丁的安全公告。總的來(lái)說(shuō),這家總部位于沃爾多夫的公司在 18 份安全公告中解決了漏洞。其中,三個(gè)被視為嚴(yán)重安全風(fēng)險(xiǎn),四個(gè)被視為高安全風(fēng)險(xiǎn)。在補(bǔ)丁概述中,SAP 列出了單獨(dú)的通知。那里的描述并不詳細(xì);管理員可以使用 SAP 鏈接的注釋編號(hào)登錄 SAP 賬戶后找到它們。這些嚴(yán)重的安全漏洞允許攻擊者在 SAP S/4HANA(私有云)(CVE-2025-27429,CVSS 9.9,風(fēng)險(xiǎn)“嚴(yán)重”)和 SAP Landscape Transformation(分析平臺(tái))(CVE-2025-31330,CVSS 9.9,風(fēng)險(xiǎn)“嚴(yán)重”)中注入并執(zhí)行惡意代碼。惡意行為者還可以繞過(guò) SAP Financial Consolidation 中的身份驗(yàn)證(CVE-2025-30016,CVSS 9.8,風(fēng)險(xiǎn)“嚴(yán)重”)。
IT 經(jīng)理應(yīng)檢查其網(wǎng)絡(luò)中使用的軟件是否受到漏洞影響,并及時(shí)安裝可用的更新。
按風(fēng)險(xiǎn)分類排序的最新 SAP 安全公告:
SAP S/4HANA(私有云)中的代碼注入漏洞,CVE-2025-27429,CVSS 9.9,風(fēng)險(xiǎn)“嚴(yán)重”
SAP Landscape Transformation(分析平臺(tái))中的代碼注入漏洞,CVE-2025-31330,CVSS 9.9,嚴(yán)重
SAP Financial Consolidation 中的身份驗(yàn)證繞過(guò)漏洞,CVE-2025-30016,CVSS 9.8,嚴(yán)重
SAP NetWeaver 應(yīng)用服務(wù)器 ABAP 中的遠(yuǎn)程函數(shù)調(diào)用 (RFC) 混合動(dòng)態(tài) RFC 目標(biāo)漏洞,CVE-2025-23186,CVSS 8.5,高
SAP Commerce Cloud 中的 Apache Tomcat 中的檢查時(shí)間使用時(shí)間 (TOCTOU) 競(jìng)爭(zhēng)條件漏洞,CVE-2024-56337,CVSS 8.1,高
SAP Capital Yield Tax Management 中的目錄遍歷漏洞,CVE-2025-30014,CVSS 7.7,高
SAP NetWeaver 和 ABAP 平臺(tái)(服務(wù)數(shù)據(jù)收集)中的目錄遍歷漏洞,CVE-2025-27428,CVSS 7.7,高
SAP Commerce Cloud(公共云)中的潛在信息泄露漏洞,CVE-2025-26654,CVSS 6.8,中等
SAP ERP BW Business Content 中的代碼注入漏洞,CVE-2025-30013,CVSS 6.7,中等
SAP BusinessObjects Business Intelligence 平臺(tái)中的不安全文件權(quán)限漏洞,CVE-2025-31332,CVSS 6.6,中等
SAP KMC WPC 中的信息泄露漏洞,CVE-2025-26657,CVSS 5.3,中等
SAP NetWeaver 應(yīng)用服務(wù)器 ABAP(基于 SAP GUI for HTML 的應(yīng)用程序)中的跨站點(diǎn)腳本 (XSS) 漏洞,CVE-2025-26653,CVSS 4.7,中等
SAP 解決方案管理器中缺少授權(quán)檢查,CVE-2025-30017,CVSS 4.4,中等
SAP S4CORE 實(shí)體中的 Odata 元數(shù)據(jù)篡改,CVE-2025-31333,CVSS 4.3,中等
SAP NetWeaver 應(yīng)用服務(wù)器 ABAP(病毒掃描接口)中缺少授權(quán)檢查,CVE-2025-27437,CVSS 4.3,中等
SAP NetWeaver 中的授權(quán)繞過(guò)漏洞,CVE-2025-31331,CVSS 4.3,中等
SAP Commerce Cloud 中的信息泄露漏洞,CVE-2025-27435,CVSS 4.2,中等
SAP NetWeaver 和 ABAP 平臺(tái)(應(yīng)用服務(wù)器 ABAP)中的內(nèi)存損壞漏洞,CVE-2025-30015,CVSS 4.1中等
SAP 還更新了兩個(gè)較舊的安全通知:一個(gè)涉及 SAP BusinessObjects 商業(yè)智能平臺(tái),該平臺(tái)于 2 月份首次發(fā)現(xiàn)高風(fēng)險(xiǎn)漏洞;另一個(gè)涉及 SAP CRM 和 SAP S/4 HANA 中的低嚴(yán)重性服務(wù)器端請(qǐng)求偽造 (SSRF),該漏洞最初于 3 月份得到解決。
閱讀原文:原文鏈接
點(diǎn)晴模切ERP更多信息:http://moqie.clicksun.cn,聯(lián)系電話:4001861886
該文章在 2025/4/12 16:38:08 編輯過(guò)
400 186 1886
