SAP修补两项重大层级漏洞，影响NetWeaver AS for ABAP、ABAP平台

本周SAP发布一月份例行更新，总共修补14项漏洞，其中有2个漏洞CVE-2025-0066、CVE-2025-0070，被列为重大层级需特别留意。

这些重大漏洞出现在NetWeaver ABAP服务器及ABAP平台（ABAP全名为Advanced Business Application Programming，是一种专门用于SAP应用系统环境的程序语言），CVSS风险都达到9.9（满分10分）。其中，CVE-2025-0066为资讯泄露漏洞，存在于网络通帧架组件，在特定的环境下，攻击者有机会借由不够充分的访问控制，访问受管制的资讯，而有可能影响应用程序的机密性、完整性，以及可用性。

另一个重大漏洞CVE-2025-0070则与权限提升有关，攻击者在通过身份验证的情况下，有机会利用验证不当的弱点提升权限，一旦成功利用，就有可能高度影响机密性、完整性，以及可用性。

在上述的重大层级漏洞之外，存在NetWeaver ABAP服务器及ABAP平台的SQL注入漏洞CVE-2025-0063，以及商业智能平台BusinessObjects的CVE-2025-0061，也都值得留意，CVSS风险分别为8.8、8.7分。