10月14日SAP发布本月例行更新(Security Patch Day),修补13项安全漏洞,并更新4则已发布的公告内容。其中最受到瞩目的部分,是被列为重大层级的CVE-2025-42944、CVE-2025-42937,以及CVE-2025-42910。
这些重大层级的漏洞又以风险值达到满分10分的CVE-2025-42944相当特别,因为这项漏洞SAP上个月已经修补过, 本月他们发布新的3660659号公告,表示是为了NetWeaver AS Java提供新的安全强化措施。参与漏洞修补过程的安全企业Onapsis透露,这项防护机制是实例Java虚拟机(JVM)的过滤器(jdk.serialFilter),目的是防范特定的类别出现反串行化的现象。
危险程度排名第二的安全漏洞是CVE-2025-42937,此为文件夹路径穿越弱点,出现在打印服务系统SAP Print Service(SAPSprint),起因是对于用户提供的路径资讯验证不够完整,未经授权的攻击者可访问所在位置的上层文件夹,并复写系统文件,从而高度影响应用程序的机密性、完整性,以及可用性,风险值为9.8。
最后一个重大漏洞CVE-2025-42910,与供应商关系管理(Supplier Relationship Management)平台有关,可被用于上传任意文件,且不受限制。该弱点发生的原因在于,并未验证文件的类型及内容,通过授权的攻击者能用来上传任意文件,并引诱用户下载及执行,风险值为9分。
