SAP 2025年6月安全补丁修复了关键NetWeaver漏洞(编号CVE-2025-42989,CVSS评分9.6),该漏洞可能导致攻击者绕过授权检查并提升权限。
根据安全公告显示:"RFC入站处理未对认证用户执行必要的授权检查,导致权限提升。成功利用此漏洞将严重影响应用程序的完整性和可用性。"该漏洞存在于SAP远程函数调用(RFC)框架中,允许经过认证的攻击者绕过关键检查机制,威胁系统完整性与可用性。
安全公司Onapsis发布报告指出:"SAP安全补丁#3600840(CVSS评分9.6)修复了SAP NetWeaver应用服务器AS ABAP中RFC框架的关键授权缺失漏洞。特定条件下,认证攻击者在使用事务型RFC(tRFC)或队列型RFC(qRFC)时可绕过S_RFC授权对象检查,实现权限提升,从而严重影响应用程序完整性和可用性。"
2025年6月安全补丁日共修复了5个高危漏洞:
-
CVE-2025-42982(CVSS 8.8)- SAP GRC(AC插件)信息泄露
-
CVE-2025-42983(CVSS 8.5)- SAP商务仓库及插件基础模块授权缺失
-
CVE-2025-23192(CVSS 8.2)- SAP商务对象BI工作区跨站脚本(XSS)漏洞
-
CVE-2025-42977(CVSS 7.6)- SAP NetWeaver Visual Composer目录遍历漏洞
-
CVE-2025-42994(CVSS 7.5)- SAP MDM服务器多重漏洞
此外,这家软件巨头还修复了6个中危漏洞和2个低危漏洞。SAP发布的公告中未提及上述漏洞已被利用的情况。
原文始发于微信公众号(黑猫安全):SAP 2025年6月安全补丁日修复关键NetWeaver漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论