本周SAP发布二月份例行更新,总共修补19项新漏洞,并对两则先前发布的公告调整内容,这次该公司修补的范围,涵盖商业智能平台BusinessObjects、供应链关系管理平台SRM、Node.js程序库Approuter、数据集成平台Enterprise Project Connection、内存数据库HANA等应用系统及组件。
根据CVSS风险评分高低,最严重的是评为8.7分的CVE-2025-0064,此为授权不当造成的弱点,出现在BusinessObjects的集中管理主控台,取得管理员权限的攻击者可在特定情况下取得或产生密码词组(passphrase),而能假冒任意用户,从而高度影响机密性及完整性。
另一个相当严重的漏洞是CVE-2025-25243,此漏洞发生在SRM,为路径穿越漏洞,危险程度达到8.6。未经授权的攻击者可借由公开的Servlet程序,于目标网络环境下载任意文件,过程里完全不需用户互动。
存在于Node.js程序库组件Approuter的CVE-2025-24876,也值得留意,此为身份验证绕过漏洞,攻击者可注入恶意酬载,而在用户交换授权码的过程中,偷取连接阶段(Session),风险值8.1。
附带一提,SAP也对去年2月公布的NetWeaver AS Java跨网站脚本(XSS)漏洞CVE-2024-22126更新说明,降低风险评分为6.1(去年2月公告为8.8分)。
