Albisteak

SAP-en segurtasuna eguneratzea - 2025eko Maiatza

Argitalpen-data: 

Laburpen exekutiboa

SAPek 2025eko maiatzari dagokion hileko segurtasun-eguneraketa argitaratu du, non guztira 18 kalteberatasun zuzendu diren: 16 segurtasun-ohar berri eta 2 aurrez argitaratutako oharren eguneraketa. Ohartarazitako kalteberatasun askok larritasun handia dute, kaltetutako sistemen konfidentzialtasunean, osotasunean eta eskuragarritasunean duten arriskuagatik.


Zuzendutako kalteberatasunen artean, SAP NetWeaver Visual Composer, SAP S/4HANA, SAP Service Parts Management (SPM) eta antzeko osagai kritikoetan aurkitutako akats larriak nabarmentzen dira. Arriskuen artean daude baimendu gabeko eragileek fitxategi kaltegarriak igotzeko aukera, informazio mugatua eskuratzea, eta script maltzurrak exekutatzea, eta horrek eragin handia izan dezake kaltetutako sistemen konfidentzialtasunean, osotasunean eta eskuragarritasunean. Kalteberatasun horiek neurri zuzentzaileak eta arintze-neurriak berehala eta epe laburrean hartzea eskatzen dute, eta larriena SAP NetWeaver Visual Composer-en aurkitutako funtzionaltasun bat da, CVSS eskalako mehatxu-puntuazio gorena, 10.0, jaso duena; honek baimendu gabeko erabiltzaileei binario fitxategiak igotzea eta exekutatzea ahalbidetzen die. Oinarrizkoa da sistemak eguneratzea, segurtasun-patch-ak aplikatzea eta sarbide-kontrol egokiak ezartzea.

Eragindako baliabideak

  • SAP NetWeaver (Visual Composer garapen-zerbitzaria) (Bertsioa – VCFRAMEWORK 7.50)
  • SAP Hornitzaile Harremanen Kudeaketa (Live Auction Cockpit) (Bertsioa – SRM_SERVER 7.14)
  • SAP S/4HANA Cloud Edizio Pribatua edo On-Premise (SCMren datu maisuen geruza (MDL)) (Bertsioak – S4CORE 102, 103, 104, 105, 106, 107, 108; SCM_BASIS 700, 701, 702, 712, 713, 714)
  • SAP Business Objects Business Intelligence Plataforma (PMW) (Bertsioak – ENTERPRISE 430, 2025, 2027)
  • SAP Landscape Transformation (PCL oinarria) (Bertsioak – DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020; S4CORE 102, 103, 104, 105, 106, 107, 108)
  • SAP PDCE (Bertsioak – S4CORE 102, 103; S4COREOP 104, 105, 106, 107, 108)
  • SAP Gateway bezeroa (Bertsioak – SAP_GWFND 752, 753, 754, 755, 756, 757, 758)
  • SAP S/4HANA (Private Cloud eta On-Premise) (Bertsioak – S4CRM 204, 205, 206; S4CEXT 107, 108; BBPCRM 702, 712, 713, 714)
  • SAP Ordezko Piezen Kudeaketa (SPM) (Bertsioak – SAP_APPL 600, 602, 603, 604, 605, 606, 616, 617, 618; SAPSCORE 111; S4CORE 100, 101, 102)
  • SAP Ordezko Piezen Kudeaketa (SPM) (Bertsioak – SAP_APPL 617, 618; SAPSCORE 116; S4CORE 100, 101, 102, 103)
  • SAP NetWeaver-en ABAP Aplikazio-Zerbitzaria eta ABAP Plataforma (Bertsioak – SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758)
  • SAP Hornitzaile Harremanen Kudeaketa (Datu Maisuen Katalogoaren Kudeaketa) (Bertsioa – SRM_MDM_CAT 7.52)
  • SAP S/4HANA HCM Portugal eta SAP ERP HCM Portugal (Bertsioak – S4HCMCPT 100, 101; SAP_HRCPT 600, 604, 608)
  • SAP Digital Manufacturing (produkzio-operadorearen panela) (Bertsioa – CTNR-DME-PODFOUNDATION-MS 1.0)

Azterketa teknikoa

Eguneraketa honetan nabarmenenak diren kalteberatasunak honako hauek dira:

  • CVE-2025-31324: SAP NetWeaver Visual Composer Metadata Uploader tresnak ez du babes egokirik eskaintzen, eta horrek baimendu gabeko eragileek fitxategi binario exekutagarri potentzialki kaltegarriak igotzea ahalbidetzen du, sistema ostalariari kalte larriak eragin diezazkioketenak. Honek eragin handia izan dezake helburuko sistemaren konfidentzialtasunean, osotasunean eta eskuragarritasunean.
    • CWE-434
    • CVSS: 10.0 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-42999: SAP NetWeaver Visual Composer Metadata Uploader kalteberatasuna du, erabiltzaile pribilegiatu batek edukia igotzen badu, deserializatzean sistema ostalariaren konfidentzialtasuna, osotasuna eta eskuragarritasuna arriskuan jar ditzakeena.
    • CWE-502
    • CVSS: 9.1 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-30018: SAP Supplier Relationship Management (SRM) sistemako Live Auction Cockpit funtzioak baimendu gabeko erasotzaile bati aplikazio servlet bati fabrikatutako XML fitxategi bat bidaltzeko aukera ematen dio; hau analizatzean, fitxategi eta datu sentikorrak eskuratu ahal ditu. Kalteberatasun honek eragin handia du aplikazioaren konfidentzialtasunean, baina ez du eragiten bere osotasunean edo eskuragarritasunean.
    • CWE-611
    • CVSS: 8.6 (larritasuna handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2025-43010: SAP S/4HANA Cloud Private Edition edo lokaletan (SCM Master Data Layer (MDL)) erasotzaile autentifikatu batek SAPren baimen estandarrarekin modulu funtzional bat urrunetik exekutatu eta ABAP programak ordezkatu ditzake, SAP programak barne. Hau gertatzen da sarrera-balidazioaren eta baimen-kontrolen gabeziagatik. Kalteberatasun honek eragin txikia du konfidentzialtasunean, baina handia osotasunean eta eskuragarritasunean.
    • CWE-94
    • CVSS: 8.3 (larritasuna handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H
    • Explotazioa: Ez da detektatu
  • CVE-2025-43000: Baldintza jakin batzuetan, Promozio Kudeaketako Laguntzaileak (PMW) erasotzaile bati beste modu batean mugatuta egongo litzatekeen informaziora sartzeko aukera ematen dio. Honek eragin handia du konfidentzialtasunean, eta eragin txikia osotasunean eta aplikazioaren eskuragarritasunean.
    • CWE-862
    • CVSS: 7.9 (larritasun handia)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
    • Explotazioa: Ez da detektatu
  • CVE-2025-43011: Baldintza jakin batzuetan, SAP Landscape Transformation-eko PCL Basis modulua ez da beharrezko baimen-egiaztapenak egiten ari, eta horrek erabiltzaile autentifikatuek funtzionalitate edo datu mugatuetara sarbidea izatea ahalbidetzen du. Honek eragin handia izan dezake konfidentzialtasunean, aplikazioaren osotasun edo eskuragarritasunean eraginik izan gabe.
    • CWE-862
    • CVSS: 7.7 (larritasun handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu
  • CVE-2024-39592: PDCE osagaiek ez dituzte erabiltzaile autentifikatuentzako beharrezko baimen-egiaztapenak egiten, eta horrek pribilegio-eskalatze bat eragiten du. Honek erasotzaile bati informazio konfidentziala irakurtzeko aukera ematen dio, eta aplikazioaren konfidentzialtasunean eragin handia du.
    • CWE-862
    • CVSS: 7.7 (larritasun handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
    • Explotazioa: Ez da detektatu

Arintzea/Konponbidea

SAPek gomendatzen du bezeroek Laguntza Atarira bisita egitea eta lehentasunezko patch-ak aplikatzea, beren SAP ingurunea babesteko. Patch hauek SAP produktuetako kalteberatasunak zuzentzeko dira, eta 2025eko maiatzaren 13an 16 Segurtasun-Ohar berri argitaratu ziren, aurrez argitaratutako oharretan 2 eguneraketa gehigarrirekin batera. Patch-ak aplikatzeaz gain, SAPek azpimarratzen du konfigurazio segurua izatea funtsezkoa dela funtzionamendu segurua eta datuen osotasuna bermatzeko. Bezeroei beren SAP ingurunearen segurtasun egokiena konfiguratzen laguntzeko gomendio dokumentatuak prestatu dituzte, dokumentu bakarrean bilduta.

Erreferentzia gehigarriak