Albisteak

Sap-en segurtasuna eguneratzea - 2025eko iraila

Argitalpen-data: 

Laburpen exekutiboa

2025eko irailaren 9an, SAP-k 21 segurtasun-ohar berri argitaratu zituen eta lau eguneraketa egin zituen aurreko oharretan Segurtasun Buletinean. Guztira 27 kalteberatasun identifikatu ziren, horietatik bederatzi kritikoak edo altuak izan ziren. Nabarmendu da "Deserialización Insegura" kalteberatasuna SAP Netweaver-en (RMI-P4) 10.0 CVSS batekin eta "Operaciones de Archivo Inseguras" kalteberatasuna SAP NetWeaver AS Java-n (Despliegue Web Zerbitzua) 9.9 CVSS batekin. SAPek Gomendatzen du Laguntza Ataria bisitatzea eta eskuragarri dauden adabakiak lehentasunez aplikatzea SAP ingurunea babesteko.

Eragindako baliabideak

  • SAP Netweaver (RMI-P4) (Bertsioa - SERVERCORE 7.50)
  • SAP NetWeaver AS Java (Deploy Web Service) (Bertsioa - J2EE-APPS 7.50)
  • SAP NetWeaver AS for ABAP and ABAP Platform (Bertsioa – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757)
  • SAP NetWeaver (Bertsioa - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54)
  • SAP Business One (SLD) (Bertsioa - B1_ON_HANA 10.0, SAP-M-BO 10.0)
  • SAP Landscape Transformation Replication Server (Bertsioa - DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020)
  • SAP S/4HANA (Hodei Pribatua edo Lekua) (Bertsioa - S4CORE 102, 103, 104, 105, 106, 107, 108)
  • SAP NetWeaver and ABAP Platform (Service Data Collection) (Bertsioa - ST-PI 2008_1_700, 2008_1_710, 740)
  • SAP Commerce Cloud and SAP Datahub (Bertsioa - HY_COM 2205, HY_DHUB 2205, COM_CLOUD 2211, DHUB_CLOUD 2211)
  • SAP Business Planning and Consolidation (Bertsioa - BPC4HANA 200, 300, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 816, CPMBPC 810)
  • SAP HCM (My Timesheet Fiori 2.0 application) (Bertsioa - GBX01HR5 605)
  • SAP HCM (Approve Timesheets Fiori 2.0 application) (Bertsioa - GBX01HR5 605)
  • SAP BusinessObjects Business Intelligence Platform (Bertsioa - ENTERPRISE 430, 2025, 2027)
  • SAP Supplier Relationship Management (Bertsioa – SRM_SERVER 700, 701, 702, 713, 714)
  • SAP NetWeaver ABAP Platform (Bertsioa - S4CRM 100, 200, 204, 205, 206, S4CEXT 109, BBPCRM 713, 714)
  • Fiori app (Manage Payment Blocks) (Bertsioa - S4CORE 107, 108)
  • SAP NetWeaver Application Server Java (Bertsioa - WD-RUNTIME 7.50)
  • SAP NetWeaver (Service Data Download) (Bertsioa - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • SAP NetWeaver Application Server for ABAP (Bertsioa – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • SAP NetWeaver AS Java (IIOP Service) (Bertsioa – SERVERCORE 7.50)
  • SAP Fiori App (F4044 Manage Work Center Groups) (Bertsioa - UIS4HOP1 600, 700, 800, 900)
  • SAP NetWeaver Application Server for ABAP (Background Processing) (Bertsioa - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816)
  • SAP Fiori (Launchpad) (Bertsioa - SAP_UI 754)
  • SAP NetWeaver AS Java (Adobe Document Service) (Bertsioa - ADSSAP 7.50)
  • SAP Commerce Cloud (Bertsioa - HY_COM 2205, COM_CLOUD 2211)

Azterketa teknikoa

  • CVE-2025-42944: SAP NetWeaver-en deserializazio kalteberatasun bat dela eta, autentifikatu gabeko erasotzaile batek sistema erasotu ahal luke RMI-P4 modulua erabiliz, karga gaizto bat bidaliz ireki dagoen ataka batera. Java objektu fidagarriak ez diren horrelakoak deserializatzeak sistema eragilearen komando arbitrarioen exekuzioa eragin dezake, aplikazioaren konfidentzialitatean, integritatean eta eskuragarritasunean eragina handia duena.
    • CWE-502
    • CVSS: 10.0 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-42922: SAP NetWeaver AS Java-k erasotzaile bati, administratzaile ez den erabiltzaile batek autentifikatuta, zerbitzu batetan dagoen huts bat erabiltzea ahalbidetzen dio fitxategi arbitrario bat igotzeko. Fitxategi hau exekutatzen denean, sistema osoaren konfidentzialitatea, integritatea eta eskuragarritasuna arriskuan jar daitezke.
    • CWE-94
    • CVSS: 9.9 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2023-27500: Administratzaile ez den autorizazioak dituen erasotzaile batek SAPRSBRO programaren direktorio-bidezko huts bat erasotu ahal luke sistema fitxategiak gainidazteko. Erasotze honetan, ezin da datuik irakurri, baina sistema eragilearen fitxategi kritikoak gainidatzi ahal dira, sistema eskuragarri ez egiteko.
    • CWE-22
    • CVSS: 9.6 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-42958: IBM i-series-en SAP NetWeaver aplikazioan autentifikazio egiaztapenaren falta dela eta, aplikazioak baimenik gabeko erabiltzaileei informazio sentikorra irakurtzea, aldatzea edo ezabatzea ahalbidetzen die, baita administratzaile edo pribilegiatutako funtzionalitateetara sartzeko aukera ere. Honek aplikazioaren konfidentzialitatean, integritatean eta eskuragarritasunean eragina handia du.
    • CWE-250
    • CVSS: 9.1 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-42933: Erabiltzaileak SAP Business One-en bezero natiboaren bidez saioa hasten duenean, SLD atzealdeko zerbitzuak huts egiten du API batzuen zifratze egokia ezartzean. Honek HTTP erantzunaren gorputzean kredentzial sentikorrak agerian uztea eragiten du. Ondorioz, aplikazioaren konfidentzialitatean, integritatean eta eskuragarritasunean eragina handia du.
    • CWE-522
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-42916: Sarrera balidazioaren falta dela eta, ABAP txostenetarako sarbide handiko pribilegioak dituen erasotzaile batek datu-baseko taula arbitrarioen edukia ezabatu ahal luke, taulak autorizazio talde batek babesten ez baditu. Honek datu-basearen integritatean eta eskuragarritasunean eragina handia du, baina ez du konfidentzialitatean eraginik.
    • CWE-1287
    • CVSS: 8.1 (altua)
    • CVSS bektorea: CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-42929: Sarreraren baliozkotze faltagatik, ABAP txostenetarako pribilegio handiko sarbidea duen erasotzaile batek datu-baseko taula arbitrarioen edukia ezaba dezake, taulak baimen talde batek babestuta ez badaude. Honek datu-basearen osotasunean eta eskuragarritasunean eragin handia dakar.
    • CWE-1287
    • CVSS: 8.1 (altua)
    • CVSS bektorea: CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-27428: Direktorio-ibilbideko kalteberatasun baten ondorioz, baimendutako erasotzaile batek RFC-rako gaitutako funtzio modulu baten bidez informazio kritikoa atzi dezake. Arrakastaz ustiatuz gero, SAP Solution Manager-era konektatutako kudeatutako edozein sistemaren fitxategiak irakur ditzake, konfidentzialtasunean eragin larria izanik. Ez da eraginik ikusten ez osotasunean ez eskuragarritasunean.
    • CWE-862
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Explotazioa: Ez da antzeman
  • CVE-2023-5072: Zerbitzua ukatzea (DoS) JSON-Java bertsioetan 20230618 barne arte. Parserreko errore batek esan nahi du sarrera-kate tamaina ertainek memoria kopuru mugagabea erabil dezakeela.
    • CWE-770
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotazioa: Ez da antzeman

Arintzea/Konponbidea

SAPek bezeroei Support Portala bisitatzeko eta segurtasun-adabakiak lehentasunez aplikatzeko eskatzen die, euren SAP paisaia babesteko. SAP Netweaver, SAP Business One, SAP S/4HANA, SAP Commerce Cloud, eta beste hainbat produktutan dauden kalteberatasunak emandako eguneratzeak aplikatuz arindu daitezke. SAP Netweaver-en SERVERCORE 7.50 bertsioetan (RMI-P4), SAP NetWeaver AS Java-ren J2EE-APPS 7.50 bertsioetan (Deploy Web Service), eta SAP NetWeaver AS-ren hainbat bertsioetan ABAP eta ABAP Platformerako kalteberatasun kritikoak identifikatu dira; beraz, berehala adabakiak aplikatzea gomendatzen da. Gainera, 2023ko martxoan eta 2025eko apirilean eta uztailean argitaratutako segurtasun-oharren kalteberatasun geratzaileak zuzentzeko eguneratzeak ere eman dira. Bezeroek eguneratze hauen inplementaziorako xehetasun eta jarraibide gehiago aurki ditzakete SAPen Support Portalean.

Erreferentzia gehigarriak