SAP آسیب‌پذیری‌های حیاتی NetWeaver web application server (CVE-2025-0066, CVE-2025-0070) را برطرف کرد

security news

SAP چهار نقص امنیتی شدید را که بر سرور وب اپلیکیشن NetWeaver تأثیر می‌گذارد، برطرف کرده است که می‌توان از آن‌ها برای ارتقا سطح دسترسی‌ها و دسترسی به اطلاعات محدود سوء استفاده کرد.

این سازنده همچنین به عنوان بخشی از روز وصله امنیتی ژانویه، به‌روزرسانی‌هایی را برای سایر محصولات منتشر کرد تا 12 باگ دیگر با شدت متوسط ​​و بالا را وصله کند.

  1. CVE-2025-0070، امتیاز 9.9: آسیب‌پذیری احراز هویت نامناسب در سرور اپلیکیشن SAP NetWeaver پلتفرم ABAP و ABAP به مهاجم احراز هویت شده اجازه می‌دهد تا از بررسی‌های احراز هویت نامناسب سوء استفاده کند که منجر به ارتقا دسترسی می‌شود و تأثیر قابل توجهی بر محرمانگی، یکپارچگی و در دسترس بودن دارد.
  2. CVE-2025-0066، امتیاز 9.9: آسیب‌پذیری افشای اطلاعات در SAP NetWeaver AS برای ABAP و پلتفرم ABAP (چارچوب ارتباط اینترنتی) به دلیل کنترل‌های دسترسی ضعیف رخ می‌دهد و مهاجم را قادر می‌سازد به اطلاعات محدود دسترسی داشته باشد و به طور قابل توجهی محرمانگی، یکپارچگی و در دسترس بودن را به خطر می‌اندازد.
  3. CVE-2025-0063، امتیاز 8.8: آسیب‌پذیری تزریق SQL در SAP NetWeaver AS ABAP و ABAP Platform ناشی از عدم بررسی مجوز برای ماژول‌های عملکرد RFC خاص است که به مهاجمی با دسترسی‌های اولیه اجازه می‌دهد پایگاه داده Informix را به خطر بیاندازد و منجر به از دست دادن کامل محرمانگی، یکپارچگی و در دسترس بودن می‌شود.
  4. CVE-2025-0061، امتیاز 8.7: آسیب‌پذیری‌های متعدد در پلتفرم هوش تجاری SAP BusinessObjects به مهاجمی که احراز هویت نشده اجازه می‌دهد به دلیل نقص افشای اطلاعات، از طریق شبکه اقدام به هایجک نشست کند و به تمام داده‌های برنامه دسترسی داشته باشد و آنها را تغییر دهد.

https://www.bleepingcomputer.com/news/security/sap-fixes-critical-vulnerabilities-in-netweaver-application-servers/