Albisteak

Sap-en segurtasuna eguneratzea - 2025eko Ekaina

Argitalpen-data: 

Laburpen exekutiboa

SAPek 2025eko ekainerako hilabeteko segurtasun eguneraketa argitaratu du, 14 ahultasun-ohar berri barne, horietatik 1 lehentasun kritikokoa (CVSS 9.6) eta 5 lehentasun handikoak (CVSS 7.5 eta 8.8 artean). Ahultasunek eragiten diete SAP NetWeaver, SAP GRC, SAP BusinessObjects BI, SAP S/4HANA, SAP MDM Server eta SAPUI5 bezalako produktuei, eta arriskuak dakartzate pribilegioen igoeratik informazio sentibera zabaltzera, script kaltegarriak exekutatzea eta segurtasun-konfigurazioak manipulatzera. Era berean, larritasun ertain eta baxuko ahultasunak ere barne hartzen dira, hala nola HTML injekzioak, baimen-egiaztapen faltak eta parametro sentiberen esposizioa. Gomendatzen da argitaratutako patch-ak berehala aplikatzea, bereziki ahultasun kritikoei eta lehentasun handiko oharrei lehentasuna emanez, SAP sistemeen konfidentzialtasuna, osotasuna eta eskuragarritasuna bermatzeko.

Eragindako baliabideak

  • SAP NetWeaver ABAP aplikazio-zerbitzaria (KERNEL 7.89, 7.93, 9.14, 9.15)
  • SAP GRC (AC Plugin) (GRCPINW V1100_700, V1100_731)
  • SAP Business Warehouse eta SAP Plug-In Basea (PI_BASIS 2006_1_700, 701, 702, 731, 740; SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 914, 915)
  • SAP BusinessObjects Business Intelligence (BI Workspace) (ENTERPRISE 430, 2025, 2027)
  • SAP NetWeaver Visual Composer (VCBASE 7.50)
  • SAP MDM zerbitzaria (MDM_SERVER 710.750)
  • SAP S/4HANA (Enterprise Event Enablement) (SAP_GWFND 757, 758)
  • SAP NetWeaver (ABAP gako-hitz dokumentazioa) (SAP_BASIS 758)
  • SAP S/4HANA (Erosketa Kontratu Zentralen kudeaketa aplikazioa) (S4CORE 106, 107, 108)
  • SAP Business One Integration Framework (B1_ON_HANA 10.0, SAP-M-BO 10.0)
  • SAP S/4HANA (Prozesu Arauen Kudeaketa - Banku Agiria-rako) (S4CORE 104, 105, 106, 107, 108)
  • SAP S/4HANA (Banku Kontu Aplikazioa) (S4CORE 108)
  • SAP BusinessObjects Business Intelligence Plataforma (ENTERPRISE 430, 2025, 2027)
  • SAPUI5 aplikazioak (SAP_UI 750, 754, 755, 756, 757, 758, UI_700 200)

Azterketa teknikoa

  • CVE-2025-42989: RFC sarrera prozesatzeak ez du erabiltzaile autentifikatu baten autorizazio egiaztapen beharrezkoak egiten, honek pribilegioen gorakada eragiten du. Erasoa arrakastatsua balitz, erasotzaileak aplikazioaren integritatea eta eskuragarritasuna kritikoki kalte dezake.
    • CWE-862
    • CVSS: 9.6 (kritikoa)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-42982: SAP GRC-k erabiltzaile ez-administratzaile bati transakzio bat abiarazteko eta sistemaren kredentzialak kontrolatu edo aldatzeko aukera ematen dio. Honek aplikazioaren konfidentzialitatean, integritatean eta eskuragarritasunean eragina handia du.
    • CWE-862
    • CVSS: 8.8 (handia)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-42983: SAP Business Warehouse eta SAP Plug-In Basis-ek erabiltzaile autentifikatu bati aukera ematen diote SAP datu-baseen taula arbitrarioak ezabatzeko, datuen galera bat eragin dezakeena edo sistema erabilgarri ez bihurtu dezakeena. Erasoa arrakastatsua balitz, erasotzaileak datu-basearen sarrerak erabat ezabatu ahal izango luke, baina ezin izango luke datuik irakurri.
    • CWE-862
    • CVSS: 8.5 (handia)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-23192: SAP BusinessObjects Business Intelligence (BI Workspace) erabiltzaile ez-autentifikatu bati aukera ematen dio lan-espazio batean script txar bat sortu eta gorde. Biktima lan-espazioan sartzen denean, script-a bere nabigatzailean exekutatuko da, erasotzaileari saio-informazio sentikorra atzitzeko aukera emanez, nabigatzailearen informazioa aldatu edo eskuragarri ez izatea eragin dezake. Honek konfidentzialitatean eragina handia du eta integritatean eta eskuragarritasunean eragina txikia.
    • CWE-79
    • CVSS: 8.2 (handia)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:L
    • Explotazioa: Ez da antzeman
  • CVE-2025-42977: SAP NetWeaver Visual Composer-ek Directorio Traversal-eko ahultasuna du, erabiltzaileak sartzen dituen bideak ez egiaztatze nahikoa dela-eta. Honek erasotzaileari fitxategi arbitrarioak irakurri edo aldatzeko aukera ematen dio, konfidentzialitatean eragina handia duela eta integritatean eragina txikia.
    • CWE-22
    • CVSS: 7.6 (handia)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:N
    • Explotazioa: Ez da antzeman
  • CVE-2025-42994: SAP MDM zerbitzariaren ReadString funtzioak erasotzaileari pakete bereziak bidaltzea ahalbidetzen dio, zerbitzariaren prozesuan irakurketa-memoriaren atzipen-uztea gaitu dezakeena, ondoren huts eginez eta modu ezustean itxiko litzatekeena, aplikazioaren eskuragarritasunean eragina handia duela eta konfidentzialitatean eta integritatean eraginik ez duela.
    • CWE-590
    • CVSS: 7.5 (handia)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-42995: SAP MDM zerbitzariaren Read funtzioak erasotzaile bati pakete bereziak bidaltzea ahalbidetzen dio, eta pakete horiek memoria irakurtzeko sarbide-urraketa eragin dezakete zerbitzari-prozesuan; horrek huts egin eta prozesua itxiera ezustekora eramango luke, erabilgarritasunean eragin handia sortuz, aplikazioaren konfidentzialtasunean eta osotasunean eraginik gabe.
    • CWE-590
    • CVSS: 7.5 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Exploatazioa: Ez detektatua
  • CVE-2025-42993: SAP S/4HANA (Enterprise Event Enablement) ataleko baimenen egiaztapen faltaren bidezko ahultasun baten ondorioz, Sarrera-Loturaren Konfiguraziora sarbidea duen erasotzaile batek RFC helmuga bat sortu eta pribilegio arbitrarioki altuak dituen erabiltzaile bat esleitu dezake. Horrek erasotzaileari aukera ematen dio RFC helmugaren bidez gertaerak kontsumitzeko, eta hor horri esker, pribilegio altuekin esleitutako erabiltzailearen izenean kodea exekutatu ahal izango luke. Nahiz eta ahultasun honek eskuragarritasunean eragin txikia izan, konfidentzialtasunean eta osotasunean arrisku handia dakar.
    • CWE-862
    • CVSS: 6.7 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L
    • Exploatazioa: Ez detektatua
  • CVE-2025-31325: SAP NetWeaver (ABAP Gako-Hitz Dokumentazioa) atalean Cross-Site Scripting bidezko ahultasun baten ondorioz, autentikaziorik gabeko erasotzaile batek JavaScript kaltegarria injektatu dezake babestu gabeko parametro baten bidez web orri batean. Biktima orri horretara sartzen denean, script-a bere nabigatzailean exekutatuko da, eta horrek erasotzaileari informazio mugatua eskuratzeko aukera emango dio. Ahultasun honek ez du datuen osotasunean edo eskuragarritasunean eraginik, eta osoa bezeroaren nabigatzailearen testuinguruan gertatzen da.
    • CWE-79
    • CVSS: 5.8 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
    • Exploatazioa: Ez detektatua
  • CVE-2025-42996: SAP MDM zerbitzariak ahultasun baten ondorioz klientearen saio aktiboak kontrolatzeko aukera ematen dio erasotzaileari, berriro autentikatu beharrik gabe, eta hainbat funtzio exekutatu ditzake, informazio ez-sentikorra eskuratu edo aldatuz, edo baliabide nahikoa kontsumituz zerbitzariaren errendimendua kaltetu, aplikazioaren konfidentzialtasunean, osotasunean eta eskuragarritasunean eragin txikia sortuz.
    • CWE-590
    • CVSS: 5.6 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
    • Exploatazioa: Ez detektatua
  • CVE-2025-42984: SAP S/4HANA Manage Central Purchase Contract aplikazioak beharrezko baimenen egiaztapenak ez ditu burutzen erabiltzaile autentikatu baterako. Horren ondorioz, erasotzaile batek "importatu" funtzioa exekutatu dezake entitatean, eta horrek murrizketarik gabeko erabiltzaileentzat eskuragarri ez bihurtzen du. Honek konfidentzialtasunean eta eskuragarritasunean eragin txikia du.
    • CWE-862
    • CVSS: 5.4 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L
    • Exploatazioa: Ez detektatua
  • CVE-2025-42998: SAP Business One Integration Framework-eko segurtasun konfigurazioak behar bezala ez egiaztatzeak erasotzaileei 403 "Debekatuta" erroreaz ihes egiteko eta mugatutako orrietara sartzeko aukera ematen die. Horrek aplikazioaren konfidentzialtasunean eragin txikia dakar, eta ez du eraginik osotasunean edo eskuragarritasunean.
    • CWE-346
    • CVSS: 5.3 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
    • Exploatazioa: Ez detektatua
  • CVE-2025-42987: SAP Manage Processing Rules (Banku Agiriekin) ataleko ahultasun batek, oinarrizko pribilegioak dituen erasotzaileari, eskaera parametroa manipulatuta edozein erabiltzaileen arau partekatuak editatzeko aukera ematen dio. Baimenen egiaztapen faltagatik, erasotzaileak murriztuta egon beharko liratekeen arauak alda ditzake, aplikazioaren osotasuna kaltetuz.
    • CWE-862
    • CVSS: 4.3 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
    • Exploatazioa: Ez detektatua
  • CVE-2025-42991: SAP S/4HANA (Banku Kontu Aplikazioa) ataleko ahultasun baten ondorioz, egiaztatuta dagoen "onartzaile" roleko erabiltzaile batek beste erabiltzaile baten aplikazioko eranskin bat ezabatu dezake, aplikazioaren osotasunean eragin txikia sortuz, baina datuen konfidentzialtasunean edo eskuragarritasunean eraginik gabe.
    • CWE-862
    • CVSS: 4.3 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
    • Exploatazioa: Ez detektatua
  • CVE-2025-42988: Baldintza jakin batzuetan, SAP Business Objects Business Intelligence Platform-ek ahultasun batek eraginda, autentikaziorik gabeko erasotzaileak HTTP eskaera bereziak erabilita barne sareko endpoint-ak enumeratu ditzake. Informazio horren divulgazioak SSRF motako erasoak errazteko aukera eman dezake. Horrek ez du eraginik aplikazioaren osotasunean edo eskuragarritasunean.
    • CWE-918
    • CVSS: 3.7 (baxua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
    • Exploatazioa: Ez detektatua
  • CVE-2025-42990: SAPUI5 aplikazio desprotegituen kasuan, oinarrizko pribilegioak dituen erasotzaileak HTML kaltegarria injektatu dezake web orri batean, erabiltzaileak erasotzailearen kontrolpeko URL batera bideratzeko helburuarekin. Hori aplikazioaren osotasunean eragin dezake; konfidentzialtasunean edo eskuragarritasunean eraginik ez dauka.
    • CWE-79
    • CVSS: 3.0 (baxua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N
    • Exploatazioa: Ez detektatua

Arintzea/Konponbidea

Gomendagarria da SAPek emandako segurtasun-adabakiak ezartzea ahultasun horiek zuzentzeko.

Erreferentzia gehigarriak