4月8日SAP发布本月例行更新,总共针对20项漏洞发布或更新安全公告,值得留意的是,其中有3项CVSS风险接近满分的重大层级漏洞,相当危险。
这些漏洞为CVE-2025-27429、CVE-2025-31330、CVE-2025-30016,分别出现在S/4HANA、Landscape Transformation、Financial Consolidation等应用系统。其中,CVE-2025-27429、CVE-2025-31330都是程序代码注入漏洞,危险程度达到9.9分(满分10分),CVE-2025-30016为身份验证绕过漏洞,危险程度为9.8分。
针对CVE-2025-27429、CVE-2025-31330,SAP指出具有用户权限的攻击者能在暴露的功能模块触发,而有机会在绕过基本的授权检核机制的情况下,在系统注入任意的ABAP程序代码。SAP指出这些漏洞形同后门,会导致攻击者能完全控制整个系统,破坏其机密性、完整性,以及可用性。
对于SAP在两项漏洞提出几乎完全一模一样的说明,安全企业Onapsis表示,这两个其实是相同的弱点,都存在于SAP的ECC选用附加组件数据迁移服务器(Data Migration Server,DMIS),不过攻击者想要利用存在必要条件,那就是要在对应的函数功能或是模块,通过S_RFC授权。
而对于第3项重大漏洞CVE-2025-30016,SAP指出,这是能让攻击者在未经授权的情况下访问管理员账号的弱点,起因是身份验证机制不当造成,同样高度影响应用系统的机密性、完整性,以及可用性。
