近日,據(jù)國外媒體報道:SAP 修補了 18 個系統(tǒng)安全漏洞!
?SAP發(fā)布了2025年4月補丁日安全公告,修復(fù)了18個漏洞。其中三項被視為至關(guān)重要,包括 SAP S/4HANA(私有云)和 SAP Landscape Transformation 中的代碼注入可能性,兩者的 CVSS 評分均為 9.9。另一個嚴重問題涉及 SAP Financial Consolidation 中的身份驗證繞過,CVSS 評分為 9.8。 SAP 建議客戶的 IT 管理員驗證其系統(tǒng)是否受到影響并及時打上補丁。SAP 有專門的安全部門,里面有很多安全方面的專家。比如下面這位在德國工作的中國同事,在安全方面就有很深的造詣。SAP于本周二 (2025 年 4 月 8 日)發(fā)布了四月補丁的安全公告。總的來說,這家總部位于沃爾多夫的公司在 18 份安全公告中解決了漏洞。其中,三個被視為嚴重安全風險,四個被視為高安全風險。在補丁概述中,SAP 列出了單獨的通知。那里的描述并不詳細;管理員可以使用 SAP 鏈接的注釋編號登錄 SAP 賬戶后找到它們。這些嚴重的安全漏洞允許攻擊者在 SAP S/4HANA(私有云)(CVE-2025-27429,CVSS 9.9,風險“嚴重”)和 SAP Landscape Transformation(分析平臺)(CVE-2025-31330,CVSS 9.9,風險“嚴重”)中注入并執(zhí)行惡意代碼。惡意行為者還可以繞過 SAP Financial Consolidation 中的身份驗證(CVE-2025-30016,CVSS 9.8,風險“嚴重”)。
IT 經(jīng)理應(yīng)檢查其網(wǎng)絡(luò)中使用的軟件是否受到漏洞影響,并及時安裝可用的更新。
按風險分類排序的最新 SAP 安全公告:
SAP S/4HANA(私有云)中的代碼注入漏洞,CVE-2025-27429,CVSS 9.9,風險“嚴重”
SAP Landscape Transformation(分析平臺)中的代碼注入漏洞,CVE-2025-31330,CVSS 9.9,嚴重
SAP Financial Consolidation 中的身份驗證繞過漏洞,CVE-2025-30016,CVSS 9.8,嚴重
SAP NetWeaver 應(yīng)用服務(wù)器 ABAP 中的遠程函數(shù)調(diào)用 (RFC) 混合動態(tài) RFC 目標漏洞,CVE-2025-23186,CVSS 8.5,高
SAP Commerce Cloud 中的 Apache Tomcat 中的檢查時間使用時間 (TOCTOU) 競爭條件漏洞,CVE-2024-56337,CVSS 8.1,高
SAP Capital Yield Tax Management 中的目錄遍歷漏洞,CVE-2025-30014,CVSS 7.7,高
SAP NetWeaver 和 ABAP 平臺(服務(wù)數(shù)據(jù)收集)中的目錄遍歷漏洞,CVE-2025-27428,CVSS 7.7,高
SAP Commerce Cloud(公共云)中的潛在信息泄露漏洞,CVE-2025-26654,CVSS 6.8,中等
SAP ERP BW Business Content 中的代碼注入漏洞,CVE-2025-30013,CVSS 6.7,中等
SAP BusinessObjects Business Intelligence 平臺中的不安全文件權(quán)限漏洞,CVE-2025-31332,CVSS 6.6,中等
SAP KMC WPC 中的信息泄露漏洞,CVE-2025-26657,CVSS 5.3,中等
SAP NetWeaver 應(yīng)用服務(wù)器 ABAP(基于 SAP GUI for HTML 的應(yīng)用程序)中的跨站點腳本 (XSS) 漏洞,CVE-2025-26653,CVSS 4.7,中等
SAP 解決方案管理器中缺少授權(quán)檢查,CVE-2025-30017,CVSS 4.4,中等
SAP S4CORE 實體中的 Odata 元數(shù)據(jù)篡改,CVE-2025-31333,CVSS 4.3,中等
SAP NetWeaver 應(yīng)用服務(wù)器 ABAP(病毒掃描接口)中缺少授權(quán)檢查,CVE-2025-27437,CVSS 4.3,中等
SAP NetWeaver 中的授權(quán)繞過漏洞,CVE-2025-31331,CVSS 4.3,中等
SAP Commerce Cloud 中的信息泄露漏洞,CVE-2025-27435,CVSS 4.2,中等
SAP NetWeaver 和 ABAP 平臺(應(yīng)用服務(wù)器 ABAP)中的內(nèi)存損壞漏洞,CVE-2025-30015,CVSS 4.1中等
SAP 還更新了兩個較舊的安全通知:一個涉及 SAP BusinessObjects 商業(yè)智能平臺,該平臺于 2 月份首次發(fā)現(xiàn)高風險漏洞;另一個涉及 SAP CRM 和 SAP S/4 HANA 中的低嚴重性服務(wù)器端請求偽造 (SSRF),該漏洞最初于 3 月份得到解決。
閱讀原文:原文鏈接
點晴模切ERP更多信息:http://moqie.clicksun.cn,聯(lián)系電話:4001861886
該文章在 2025/4/12 16:38:08 編輯過
400 186 1886
