漏洞更新 - SAP 產品多個漏洞
一、摘要
二、存在風險
漏洞出現在名為SQL Anywhere Monitor的系統,是屬於安全性不足的金鑰及機密管理而造成的漏洞,起因是此應用程式將憑證嵌入程式碼,導致特定資源或功能曝露,攻擊者有機會藉此執行任何程式碼,使得相關系統的機密性、完整性,以及可用性面臨高風險。一旦IT人員套用修補程式,將會完全移除SQL Anywhere Monitor,假如無法及時套用修補程式,應停止使用此系統,並且刪除所有SQL Anywhere Monitor資料庫的實體。
另一項重大漏洞CVE-2025-42887,影響SAP Solution Manager,為程式碼注入型態的弱點,CVSS風險值為9.9,問題出在對於置入的程式碼缺乏過濾與管控,通過身分驗證的攻擊者在呼叫能遠端啟用的功能模組過程裡,插入惡意程式碼,進而對系統完全控制,對於機密性、完整性,以及可用性造成重大影響。Onapsis也透露SAP對此漏洞的處理方法,是增加輸入檢查機制,大量排除非英數的字元因應。
受影響之系統/漏洞描述:
SQL Anywhere Monitor (Non-Gui)
-
SYBASE_SQL_ANYWHERE_SERVER v17.0
-
-
SAP NetWeaver AS Java
-
SERVERCORE 7.50
-
-
SAP Solution Manager
-
ST 720
-
-
SAP CommonCryptoLib
-
CRYPTOLIB 8
-
-
SAP HANA JDBC Client
-
HDB_CLIENT 2.0
-
-
SAP Business Connector
-
SAP BC 4.8(OS Command Injection)
-
SAP BC 4.8(Path Traversal)
-
SAP BC 4.8(Open Redirect)
-
SAP BC 4.8(Reflected XSS)
-
-
SAP NetWeaver Enterprise Portal
-
EP-BASIS 7.50
-
EP-RUNTIME 7.50
-
-
SAP S/4HANA Landscape (SAP E-Recruiting BSP)
-
S4ERECRT 100/200
-
ERECRUIT 600-617
-
ERECRUIT 800-802
-
-
SAP HANA 2.0 (hdbrss)
-
HDB 2.00
-
-
SAP GUI for Windows
-
BC-FES-GUI 8.00
-
BC-FES-GUI 8.10
-
-
SAP Starter Solution (PL SAFT)
-
SAP_APPL 600-606, 616
-
SAP_FIN 617-618, 700, 720, 730
-
S4CORE 100-104
-
-
SAP NetWeaver Application Server Java
-
ENGINEAPI 7.50
-
EP-BASIS 7.50
-
-
SAP Business One (SLD)
-
B1_ON_HANA 10.0
-
SAP-M-BO 10.0
-
-
SAP S4CORE (Manage Journal Entries)
-
S4CORE 104-108
-
-
SAP NetWeaver Application Server for ABAP (Migration Workbench)
-
SAP_BASIS 700-758
-
SAP_BASIS 816
-
-
SAP Fiori for SAP ERP
-
SAP_GWFND 740-758
-
