HackerNews 编译,转载请注明出处:
SAP已修复影响NetWeaver Web应用服务器的两个关键漏洞,这些漏洞可能被利用来提升权限并访问受限信息。
作为一月安全补丁日的一部分,该供应商还发布了针对其他产品的更新,以修复12个被评为中高严重性的其他问题。
SAP的安全公告指出:“SAP强烈建议客户访问支持门户,并优先应用补丁,以保护其SAP环境。”
本月SAP解决的最严重的四个安全问题概述如下:
- CVE-2025-0070(关键严重性,9.9分):SAP NetWeaver ABAP应用服务器及ABAP平台的认证不当,使得经过认证的攻击者可以利用认证检查不当的漏洞,导致权限提升,并严重影响保密性、完整性和可用性。CVE-2025-0066(关键严重性,9.9分):SAP NetWeaver ABAP应用服务器(互联网通信框架)中存在信息泄露漏洞,由于访问控制薄弱,攻击者能够访问受限信息,严重损害保密性、完整性和可用性。CVE-2025-0063(高严重性,8.8分):SAP NetWeaver ABAP应用服务器及ABAP平台中存在SQL注入漏洞,原因是某些RFC功能模块缺少授权检查。这使得拥有基本权限的攻击者能够危及Informix数据库,导致保密性、完整性和可用性完全丧失。CVE-2025-0061(高严重性,8.7分):SAP BusinessObjects商业智能平台中存在多个漏洞,由于信息泄露问题,未经认证的攻击者可以在网络上执行会话劫持,从而访问并修改所有应用数据。
SAP产品服务于制造业、金融业、零售业、医疗保健和政府等多个行业的大型企业,在管理业务运营和客户关系方面发挥着关键作用。
SAP NetWeaver是运行ABAP应用程序和通过互联网通信框架实现安全通信的核心平台。它通常由管理财务、人力资源和供应链ERP系统的企业IT管理员、开发人员和顾问使用。
SAP BusinessObjects是一个用于报告、分析和数据可视化的平台,由分析师、决策者和IT团队使用,以获取见解并支持战略决策。
过去,黑客曾针对未更新以修复已知漏洞或配置不当的SAP产品,导致网络面临泄露风险。
这家德国供应商强烈建议客户应用最新的可用补丁,以保护其SAP环境。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
