SAP چهار نقص امنیتی شدید را که بر سرور وب اپلیکیشن NetWeaver تأثیر میگذارد، برطرف کرده است که میتوان از آنها برای ارتقا سطح دسترسیها و دسترسی به اطلاعات محدود سوء استفاده کرد.
این سازنده همچنین به عنوان بخشی از روز وصله امنیتی ژانویه، بهروزرسانیهایی را برای سایر محصولات منتشر کرد تا 12 باگ دیگر با شدت متوسط و بالا را وصله کند.
- CVE-2025-0070، امتیاز 9.9: آسیبپذیری احراز هویت نامناسب در سرور اپلیکیشن SAP NetWeaver پلتفرم ABAP و ABAP به مهاجم احراز هویت شده اجازه میدهد تا از بررسیهای احراز هویت نامناسب سوء استفاده کند که منجر به ارتقا دسترسی میشود و تأثیر قابل توجهی بر محرمانگی، یکپارچگی و در دسترس بودن دارد.
- CVE-2025-0066، امتیاز 9.9: آسیبپذیری افشای اطلاعات در SAP NetWeaver AS برای ABAP و پلتفرم ABAP (چارچوب ارتباط اینترنتی) به دلیل کنترلهای دسترسی ضعیف رخ میدهد و مهاجم را قادر میسازد به اطلاعات محدود دسترسی داشته باشد و به طور قابل توجهی محرمانگی، یکپارچگی و در دسترس بودن را به خطر میاندازد.
- CVE-2025-0063، امتیاز 8.8: آسیبپذیری تزریق SQL در SAP NetWeaver AS ABAP و ABAP Platform ناشی از عدم بررسی مجوز برای ماژولهای عملکرد RFC خاص است که به مهاجمی با دسترسیهای اولیه اجازه میدهد پایگاه داده Informix را به خطر بیاندازد و منجر به از دست دادن کامل محرمانگی، یکپارچگی و در دسترس بودن میشود.
- CVE-2025-0061، امتیاز 8.7: آسیبپذیریهای متعدد در پلتفرم هوش تجاری SAP BusinessObjects به مهاجمی که احراز هویت نشده اجازه میدهد به دلیل نقص افشای اطلاعات، از طریق شبکه اقدام به هایجک نشست کند و به تمام دادههای برنامه دسترسی داشته باشد و آنها را تغییر دهد.
https://www.bleepingcomputer.com/news/security/sap-fixes-critical-vulnerabilities-in-netweaver-application-servers/