SAP 修复 NetWeaver 应用服务器中的关键漏洞

SAP已修复影响NetWeaver Web应用服务器的两个关键漏洞，这些漏洞可能被利用来提升权限并访问受限信息。

作为一月安全补丁日的一部分，该供应商还发布了针对其他产品的更新，以修复12个被评为中高严重性的其他问题。

SAP的安全公告指出：“SAP强烈建议客户访问支持门户，并优先应用补丁，以保护其SAP环境。”

本月SAP解决的最严重的四个安全问题概述如下：

• CVE-2025-0070（关键严重性，9.9分）：SAP NetWeaver ABAP应用服务器及ABAP平台的认证不当，使得经过认证的攻击者可以利用认证检查不当的漏洞，导致权限提升，并严重影响保密性、完整性和可用性。
• CVE-2025-0066（关键严重性，9.9分）：SAP NetWeaver ABAP应用服务器（互联网通信框架）中存在信息泄露漏洞，由于访问控制薄弱，攻击者能够访问受限信息，严重损害保密性、完整性和可用性。
• CVE-2025-0063（高严重性，8.8分）：SAP NetWeaver ABAP应用服务器及ABAP平台中存在SQL注入漏洞，原因是某些RFC功能模块缺少授权检查。这使得拥有基本权限的攻击者能够危及Informix数据库，导致保密性、完整性和可用性完全丧失。
• CVE-2025-0061（高严重性，8.7分）：SAP BusinessObjects商业智能平台中存在多个漏洞，由于信息泄露问题，未经认证的攻击者可以在网络上执行会话劫持，从而访问并修改所有应用数据。

SAP产品服务于制造业、金融业、零售业、医疗保健和政府等多个行业的大型企业，在管理业务运营和客户关系方面发挥着关键作用。

SAP NetWeaver是运行ABAP应用程序和通过互联网通信框架实现安全通信的核心平台。它通常由管理财务、人力资源和供应链ERP系统的企业IT管理员、开发人员和顾问使用。

SAP BusinessObjects是一个用于报告、分析和数据可视化的平台，由分析师、决策者和IT团队使用，以获取见解并支持战略决策。

过去，黑客曾针对未更新以修复已知漏洞或配置不当的SAP产品，导致网络面临泄露风险。

这家德国供应商强烈建议客户应用最新的可用补丁，以保护其SAP环境。

消息来源：Bleeping Computer, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；