Sió-Informatika Rendszerház

HÍREK

SAP szeptemberi biztonsági frissítés: kritikus, maximális súlyosságú sebezhetőségek javítása ❗️

SAP Security Patch Day 2025 szeptember

Az SAP kiadta a Security Patch Day – 2025. szeptemberi kiadását, amely 21 újonnan azonosított sérülékenységet orvosol, valamint négy korábbi biztonsági jegyzet frissítését is tartalmazza. A frissítés kiemelten foglalkozik a NetWeaver szoftvermegoldásban található három kritikus hibával, amelyek súlyos fenyegetést jelentenek az SAP rendszereket futtató vállalatok számára.

Mivel az SAP rendszerek gyakran kezelnek érzékeny pénzügyi, üzleti és ügyféladatokat, a szervezeteknek azonnali frissítést javasolnak a potenciális kockázatok minimalizálása érdekében.

A szeptemberi kiadás hatóköre

A biztonsági frissítések széles termékskálát érintenek, köztük:

  • SAP NetWeaver és különböző kerneljei, alkalmazásszerverei,
  • ABAP platform modulok,
  • S/4HANA digitális core és replikációs szolgáltatások,
  • SAP Business One (kis- és középvállalatok számára),
  • SAP Commerce Cloud és HCM Fiori alkalmazások.

Ezekben a rétegekben található hibák kihasználása támadóknak jogosulatlan hozzáférést, üzleti folyamatok megzavarását vagy érzékeny adatok kiszivárogtatását teheti lehetővé.

Kritikus és magas súlyosságú sérülékenységek

A 21 sebezhetőségből négy Kritikus besorolású (CVSS 9.0+), amelyek kijavítása elsődleges fontosságú.

Kritikus hibák (CVSS 9.0–10.0)

  • CVE-2025-42944 – Insecure deserialization a NetWeaver-ben (CVSS 10.0)
    Távoli kódfuttatást tesz lehetővé a RMI-P4 modulon keresztül. Támadók rosszindulatú Java objektumokkal teljes OS parancsvégrehajtást érhetnek el.
  • CVE-2025-42922 – Insecure file operations az AS Java-ban (CVSS 9.9)
    Hitelesített, de nem adminisztrátori felhasználók feltölthetnek és futtathatnak rosszindulatú fájlokat, így teljes rendszerkompromittációt okozva.
  • CVE-2023-27500 – Directory traversal az ABAP platformon (CVSS 9.6)
    Jogosulatlan felhasználók rendszerfájlokat írhatnak felül, leállítva a rendszert.
  • CVE-2025-42958 – Hiányzó autentikációs ellenőrzés a NetWeaver kernelben (CVSS 9.1)
    Lehetővé teszi, hogy jogosulatlan, magas privilégiumú támadók érzékeny adatokhoz férjenek hozzá vagy adminisztrációs funkciókat hajtsanak végre.

Magas súlyosságú hibák (CVSS 7.5–8.8)

  • CVE-2025-42933 – Insecure Storage of Sensitive Information in SAP Business One (SLD)
    Termék: SAP Business One (SLD) – Verzió: B1_ON_HANA 10.0, SAP-M-BO 10.0
    CVSS: 8.8
  • CVE-2025-42929 – Missing input validation in SAP Landscape Transformation Replication Server
    Termék: SAP Landscape Transformation Replication Server – Verzió: DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020
    CVSS: 8.1
  • CVE-2025-42916 – Missing input validation in SAP S/4HANA (Private Cloud vagy On-Premise)
    Termék: SAP S/4HANA – Verzió: S4CORE 102–108
    CVSS: 8.1
  • CVE-2025-27428 – Directory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection)
    Termék: SAP NetWeaver és ABAP Platform – Verzió: ST-PI 2008_1_700, 2008_1_710, 740
    CVSS: 7.7

Közepes és alacsony súlyosságú sérülékenységek

Közepes súlyosságú (CVSS 4.0–6.9)

  • CVE-2025-22228 – Biztonsági hibás konfiguráció a Spring security-ben (SAP Commerce Cloud, SAP Datahub) – CVSS: 6.6
  • CVE-2025-42930 – DoS sérülékenység a SAP Business Planning and Consolidation modulban – CVSS: 6.5
  • CVE-2025-42912/42913/42914 – Hiányzó jogosultság-ellenőrzés a HCM My Timesheet Fiori 2.0 alkalmazásban – CVSS: 6.5
  • CVE-2025-42917 – Hiányzó jogosultság-ellenőrzés a HCM Approve Timesheets Fiori 2.0 alkalmazásban – CVSS: 6.5
  • CVE-2023-5072 – DoS sebezhetőség elavult JSON library miatt a SAP BusinessObjects BI Platformban – CVSS: 6.5
  • CVE-2025-42920 – XSS sérülékenység a SAP Supplier Relationship Management-ben – CVSS: 6.1
  • CVE-2025-42938 – XSS sérülékenység a NetWeaver ABAP Platformon – CVSS: 6.1
  • CVE-2025-42915 – Jogosultság-ellenőrzés hiánya a Fiori Manage Payment Blocks appban – CVSS: 5.4
  • CVE-2025-42926 – Hiányzó autentikáció ellenőrzés a NetWeaver Application Server Java-ban – CVSS: 5.3
  • CVE-2025-42911 – Jogosultság-ellenőrzés hiánya a NetWeaver Service Data Download funkcióban – CVSS: 5.0
  • CVE-2025-42961 – Jogosultság-ellenőrzés hiánya a NetWeaver Application Server ABAP-ban – CVSS: 4.9
  • CVE-2025-42925 – Predictable Object Identifier sérülékenység az AS Java IIOP Service-ben – CVSS: 4.3
  • CVE-2025-42923 – CSRF sebezhetőség a Fiori App (F4044 Manage Work Center Groups)-ban – CVSS: 4.3
  • CVE-2025-42918 – Jogosultság-ellenőrzés hiánya a NetWeaver ABAP Background Processing modulban – CVSS: 4.3

Alacsony súlyosságú (CVSS < 4.0)

  • CVE-2025-42941 – Reverse Tabnabbing a SAP Fiori Launchpadben – CVSS: 3.5
  • CVE-2025-42927 – Információszivárgás elavult OpenSSL verzió miatt az Adobe Document Services-ben – CVSS: 3.4
  • CVE-2024-13009 – Resource Release sérülékenység a SAP Commerce Cloudban – CVSS: 3.1

SAP ajánlások és következő lépések

Az SAP ügyfeleknek javasolt:

  1. Azonnal telepíteni a legfrissebb biztonsági jegyzeteket.
  2. Ellenőrizni a SAP Support Portalon az érintett komponensek listáját.
  3. Követni az SAP biztonságos konfigurációs irányelveit.
  4. Először a kritikus hibákat, majd a magas és közepes súlyosságú sebezhetőségeket kell javítani.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!