Albisteak

SAPen hileko segurtasun-eguneraketa - 2025eko Apirila

Argitalpen-data: 

Laburpen exekutiboa

GSAP-ek 2025eko apirilaren segurtasun-buletina argitaratu du, guztira, 18 Segurtasun Ohar berri eta aldez aurretik igorritako 2 eguneratze barne hartzen dituena. Sistemako administratzaileek lehentasunezko arreta eskatu beharreko kalteberatasun kritiko ugari nabarmentzen dira.

Bi kode-injekzio akats kritiko nabarmentzen dira: CVE-2025-27429, SAP S/4HANA (Private Cloud) sistemari eragiten diona, eta CVE-2025-31330, SAP Landscape Transformation (Analysis Platform) plataforman aurkitutakoa; biek 9.9ko CVSS puntuazioa dute. Horiei gehitzen zaie SAP Financial Consolidation sisteman autentifikazioa saihesteko kalteberatasun bat (CVE-2025-30016), 9.8ko CVSS puntuazioarekin. Larritasun handiko gisa sailkatutako akatsen artean, CVE-2025-0064 nabarmentzen da, SAP BusinessObjects Business Intelligence sistemari eragiten diona (aurreko ohar baten eguneraketa), 8.8ko CVSS balorazioarekin.

Era berean, SAP NetWeaver AS ABAP sisteman RFC helbide dinamikoen kudeaketan beste kalteberatasun bat atzeman da (CVE-2025-23186, CVSS 8.5). Halaber, TOCTOU lasterketa-egoera bat jakinarazi da SAP Commerce Cloud sisteman integratutako Apache Tomcat-en (CVE-2024-56337), 8.1eko puntuazioarekin, eta fitxategi-sistemaren konfigurazioaren eta erabilitako Java bertsioaren arabera ustiatu daitekeena. Azkenik, bi directory traversal motako kalteberatasun identifikatu dira: CVE-2025-30014 SAP Capital Yield Tax Management sisteman (CVSS 7.7), eta CVE-2025-27428 SAP NetWeaver eta ABAP Platform sistemen artean, azken honek oraindik ez du CVSS puntuaziorik argitaratu. Premiaz gomendatzen da erabilgarri dauden adabakien ezarpena, eta SAP laguntza-portalean argitaratutako jarraibide ofizialak betetzea, mehatxu horiek arintzeko eta inguruneen segurtasuna bermatzeko.

Eragindako baliabideak

  • SAP S/4HANA (Private Cloud) (Bertsioak - S4CORE 102, 103, 104, 105, 106, 107, 108)
  • SAP Landscape Transformation (Analysis Platform) (Bertsioak - DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731)
  • SAP Financial Consolidation (Bertsioa - FINANCE 1010)
  • SAP BusinessObjects Business Intelligence platform (Central Management Console) (Bertsioak - ENTERPRISE 430, 2025)
  • SAP NetWeaver Application Server ABAP (Bertsioak - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93)
  • SAP Commerce Cloud (Bertsioak - HY_COM 2205, COM_CLOUD 2211)
  • SAP Capital Yield Tax Management (Bertsioak - CYTERP 420_700, CYT 800, IBS 7.0, CYT4HANA 100)
  • SAP NetWeaver and ABAP Platform (Service Data Collection) (Bertsioak - ST-PI 2008_1_700, 2008_1_710, 740)
  • SAP Commerce Cloud (Public Cloud) (Bertsioa - COM_CLOUD 2211)
  • SAP ERP BW Business Content (Bertsioak - BI_CONT 707, 737, 747, 757)
  • SAP BusinessObjects Business Intelligence Platform (Bertsioa - ENTERPRISE 430)
  • SAP KMC WPC (Bertsioa - KMC-WPC 7.50)
  • SAP NetWeaver Application Server ABAP (SAP GUI for HTML oinarritutako aplikazioak) (Bertsioak - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.14)
  • SAP Solution Manager (Bertsioak - ST 720, SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 914)
  • SAP S4CORE entity (Bertsioak - S4CORE 107, 108)
  • SAP NetWeaver Application Server ABAP (Virus Scan Interface) (Bertsioak - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758)
  • SAP NetWeaver (Bertsioak - SAP_ABA 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G, 75H, 75I)
  • SAP Commerce Cloud (Bertsioak - HY_COM 2205, COM_CLOUD 2211)
  • SAP NetWeaver and ABAP Platform (Application Server ABAP) (Bertsioak - KRNL64UC 7.53, KERNEL 7.53, 7.54)
  • SAP CRM and SAP S/4HANA (Interaction Center) (Bertsioak - S4CRM 100, 200, 204, 205, 206, S4FND 102, 103, 104, 105, 106, 107, 108, S4CEXT 107, 108, BBPCRM 701, 702, 712, 713, 714, WEBCUIF 701, 731, 746, 747, 748, 800, 801)

Azterketa teknikoa

  • CVE-2025-27429: SAP S/4HANA (Private Cloud) sisteman kode-injekzioko kalteberatasuna. Autentifikatu gabeko urrutiko erasotzaile batek ausazko kodea exekutatu dezake, sistemaren osotasuna guztiz arriskuan jarriz.
    • CWE-94
    • CVSS: 9.9
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-31330: Kode-injekzioa SAP Landscape Transformation (Analysis Platform) plataforman. Erasotzaile batek ausazko kodea exekutatu dezake zerbitzari kaltetu batean, segurtasunean eragin osoarekin.
    • CWE-94
    • CVSS: 9.9
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-30016: Autentifikazio-saihesteko kalteberatasuna SAP Financial Consolidation-en. Erasotzaile batek baimenik gabeko sarbidea lor dezake autentifikazio-kontrolak saihestuz.
    • CWE-287
    • CVSS: 9.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-0064: Baimen desegokia SAP BusinessObjects Business Intelligence-ren administrazio-kontsolan. Erasotzaile batek pasahitzak sortu edo berreskuratu eta erabiltzaileak ordezka ditzake.
    • CWE-285
    • CVSS: 8.8
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2025-23186: SAP NetWeaver AS ABAP sistemako RFC helburu dinamikoetan kalteberatasuna. Horrek urrutiko funtzioen baimenik gabeko exekuzioa ahalbidetu dezake.
    • CWE-639
    • CVSS: 8.5
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2024-56337: Apache Tomcat-en TOCTOU lasterketa-egoera bat atzeman da 11.0.3, 10.1.35 eta 9.0.99 bertsioetan baino lehen. Arriskua gertatzen da maiuskula/minuskula desberdintasunik ez duten sistemetan, servlet lehenetsian idazketa gaitzen denean. Arintzeko, Java 8, 11 edo 17n sun.io.useCanonCaches=false ezarri behar da. Java 21 edo berriagoan ez da beharrezkoa konfigurazio osagarririk.
    • CWE-367
    • CVSS: 8.1
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2025-30014: "Directory traversal" motako kalteberatasuna SAP Capital Yield Tax Management-en. Erasotzaile batek baimendutako direktoriotik kanpoko fitxategietara sarbidea lor dezake.
    • CWE-22
    • CVSS: 7.7
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

SAP-ek gomendatzen die bere bezeroei SAP Support Portal-era sartzea eta 2025eko apirileko segurtasun-eguneratzeak ahalik eta azkarren ezartzea. Horrez gain, SAP-ek azpimarratzen du garrantzitsua dela bere konfigurazio segururako gomendio ofizialak jarraitzea, bere laguntza-portalean eskuragarri daudenak. Jarraitutako gomendio horiek SAP inguruneen segurtasun-jarrera indartzen laguntzen dute, erasorako azalera murriztuz eta funtzionamendu fidagarri eta babestua bermatuz.

Erreferentzia gehigarriak