Albisteak

Sap-en segurtasuna eguneratzea - 2025eko abendua

Argitalpen-data: 

Laburpen exekutiboa

2025eko abenduaren 9an, SAPek 14 segurtasun-ohar berri argitaratu zituen bere produktuetako hainbat ahultasun kritiko konpontzeko, tartean SAP Solution Manager-en 9.9rainoko CVSS puntuazioa duten akatsak, sistema osoaren kontrola lortzeko kode maltzurra exekutatzea ahalbidetzen dutenak. Halaber, ahultasun larriak identifikatu ziren SAP NetWeaver, SAP Web Dispatcher eta Apache Tomcat osagaietan, urruneko kode-exekuzioa, sarrera-manipulazioa eta sistemaren konfidentzialtasuna zein eskuragarritasuna arriskuan jar ditzaketenak. Ahultasun horiek baimenik gabeko sarbideak eta zerbitzuan eten larriak eragin ditzaketenez, ezinbestekoa da segurtasun-patchak eta eguneraketak berehala ezartzea.

Eragindako baliabideak

  • SAP Solution Manager (ST 720)
  • SAP Commerce Cloud (HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21)
  • SAP jConnect - SDK for ASE (SYBASE_SOFTWARE_DEVELOPER_KIT 16.0.4, 16.1)
  • SAP Web Dispatcher eta Internet Communication Manager (ICM) (KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.22_EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16)
  • SAP NetWeaver (Xcelsius-rako zerbitzu urruna) (BI-BASE-E 7.50, BI-BASE-B 7.50, BI-IBC 7.50, BI-BASE-S 7.50, BIWEBAPP 7.50)
  • SAP Business Objects (ENTERPRISE 430, 2025, 2027)
  • SAP Content Server (KRNL64UC 7.53, WEBDISP 7.53, 7.54, CONTSERV 7.53, 7.54, KERNEL 7.53, 7.54)
  • SAP S/4 HANA Private Cloud (Financials General Ledger) (S4CORE 104, 105, 106, 107, 108, 109)
  • SAP NetWeaver Internet Communication Framework (SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758)
  • Application Server ABAP (KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.17)
  • SAP NetWeaver Enterprise Portal (EP-RUNTIME 7.50)
  • SAPUI5 framework (Markdown-it osagaia) (SAP_UI 755, 756, 757, 758)
  • SAP Enterprise Search for ABAP (SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • SAP BusinessObjects Business Intelligence Platform (ENTERPRISE 430, 2025, 2027)

Azterketa teknikoa

  • CVE-2025-42880: SAP Solution Manager-en ahultasuna sarrerak sanitizatzeko falta dela eta, autentifikatutako erasotzaile bati kode gaiztoa sartzea ahalbidetzen dio funtzio modulu urrun bat deituz. Honek erasotzaileari sistema osoaren kontrola ematen ahal izango dio, informazioaren konfidentzialtasuna, integritatea eta eskuragarritasuna larriki kaltetuz. Erasotzailea autentifikatuta egon behar da ahultasun hau esplotatzeko.
    • CWE-94
    • CVSS: 9.9 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-55754: Apache Tomcat-en Escape, Meta, edo Control Sequences-en Neutralizazio Egokitzapen falta den ahultasunak erasotzaile bati ANSI escape sekuentziak log mezuetan injetatzea ahalbidetzen dio. Honek kontsola eta clipboard-a manipulatu dezake Windows sistemetan, administratzaile bat engainatuz erasotzaileak kontrolatutako agindu bat exekutatzeko. Erasotzailearen aurka ez da aurkitu erasotzeko bektore bat, baina beste sistema eragile batzuetan posible izan daiteke. 11.0.11 edo ondorengo bertsioetara, 10.1.45 edo ondorengo bertsioetara, edo 9.0.109 edo ondorengo bertsioetara eguneratzea gomendatzen da.
    • CWE-150
    • CVSS: 9.6 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-42928: SAP jConnect-en deserializazio ahultasun bat identifikatu da, pribilegiatu altuak dituen erabiltzaile batek kodea urrunetik exekutatzea ahalbidetuz. Honek sistemaren konfidentzialtasuna, integritatea eta eskuragarritasuna larriki kaltetzea ekar dezake. Esplotazioa ahultasun hau aprobetxatzeko sarrera bereziki diseinatutakoak erabiltzea eskatzen du.
    • CWE-502
    • CVSS: 9.1 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-42878: SAP Web Dispatcher eta ICM-k ekoizpenerako ez diren probako interfazeak agerian utz ditzakete. Horrela, autentifikatu gabeko erasotzaileek ahultasun hauek aprobetxatu ahal izango dituzte diagnostikoetara sartzeko, eskatutako eskaerak manipulatzeko edo zerbitzuak eteteko. Honek sistemaren konfidentzialtasuna eta eskuragarritasuna larriki kaltetzea ekar dezake, nahiz eta aplikazioaren integritatean eragina txikia izan.
    • CWE-1244
    • CVSS: 8.2 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-42874: SAP NetWeaver-en Xcelsius-rako zerbitzu urruneko ahultasunak, sarean sarbidea eta pribilegio altuak dituen erasotzaile bati kode arbitrarioa exekutatzea ahalbidetzen dio sarrera balidazioa ez denean. Honek zerbitzuen etendura edo sistemaren baimenik gabeko kontrola ekar dezake, integritatea eta eskuragarritasuna larriki kaltetuz, baina konfidentzialtasunean eraginik ez. Erasotzailea autentifikatuta egon behar da ahultasun hau esplotatzeko.
    • CWE-405
    • CVSS: 7.9 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-55752: Apache Tomcat-en bide erlatiboaren ahultasunak, erasotzaile bati URI eskaera manipulatzeko aukera ematen dio segurtasun murrizketak saihesteko, /WEB-INF/ eta /META-INF/ bezalako babestutako direktorioetara sartuz. PUT eskaerak aktibatuta badaude, honek kodearen urruneko exekuzioa ekar dezake. Normalean, PUT eskaerak fidagarritzat jotzen diren erabiltzaileei mugatzen zaizkie, eta horrek URI manipulazioarekin batera aktibatzea gutxietsi egiten du. Seguruagoak diren bertsioetara eguneratzea gomendatzen da: 11.0.11, 10.1.45 edo 9.0.109.
    • CWE-23
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-42877: SAP Web Dispatcher, Internet Communication Manager (ICM) eta SAP Content Server-ek memoria ustelduko ahultasun bat aurkezten dute logika akatsengatik, autentifikatu gabeko erabiltzaile batek esplotatu dezakeena. Honek sistemaren eskuragarritasunean eragin handia izan dezake, baina aplikazioaren konfidentzialtasuna eta integritatea ez dira kaltetzen. Ahultasun hau esplotatzeko, ez da beharrezkoa kredentzialik edo aurretiko autentifikaziorik.
    • CWE-787
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-48976: Apache Commons FileUpload-en zerbitzu ukatze (DoS) ahultasun bat identifikatu da multipart goiburuetarako baliabideak oker banatzeagatik. Ahultasun honek erasotzaile bati aplikazioaren zerbitzua eteteko aukera ematen dio. Hori esplotatzeko, erasotzaileak akats hau aprobetxatzeko eskaera zehatzak bidali behar ditu. 1.6 edo 2.0.0-M4 bertsioetara eguneratzea gomendatzen da arriskua murrizteko.
    • CWE-770
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-42876: SAP S/4 HANA Private Cloud-en baimenen egiaztapen falta batek, autentifikatutako erasotzaile bati, enpresa kode bakar bateko baimen mugatuak dituenak, datu sentikorretara sartzea eta dokumentuak enpresa kode guztietan aldatzea ahalbidetzen dio. Esplotazio arrakastatsuak konfidentzialtasuna larriki kaltetzea ekar dezake, integritateari eragin txikia eginez, eskuragarritasuna aldiz ez da kaltetzen. Erasotzailea autentifikatuta egon behar da eta baimen mugatuak izan behar ditu.
    • CWE-405
    • CVSS: 7.1 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

SAPk bezeroei gomendatzen die Support Portalera bisitatzea eta segurtasun patch-ak lehentasunez aplikatzea SAP paisaia babesteko.

Erreferentzia gehigarriak