SAP kritične ranjivosti – kolovoz 2025 sigurnosne zakrpe
SAP je objavio sigurnosne zakrpe za više kritičnih ranjivosti u S/4HANA, NetWeaver, Business One i Landscape Transformation.
.png)
Sažetak
SAP je objavio kritična sigurnosna ažuriranja koja otklanjaju više visokorizičnih ranjivosti u široko korištenim SAP proizvodima, uključujući SAP S/4HANA, SAP Landscape Transformation, SAP Business One i SAP NetWeaver AS ABAP.
Među njima se nalaze ozbiljni propusti za injekciju kôda s maksimalnim CVSS ocjenama (9,9) koji omogućuju napadačima izvršavanje proizvoljnog kôda s povišenim privilegijama, što predstavlja značajnu prijetnju poslovnim okruženjima. Ostale ranjivosti uključuju nedostatke u autorizaciji te propuste tipa directory traversal.
Detalji
Pogođeni proizvodi:
- SAP S/4HANA
- SAP Landscape Transformation
- SAP Business One
- SAP NetWeaver AS ABAP
Ranjivosti:
- CVE-2025-42957 – Kritična injekcija kôda u SAP S/4HANA, omogućuje napadačima ubacivanje zlonamjernog ABAP kôda putem Remote Function Call (RFC) sučelja.
- CVE-2025-42950 – Kritična injekcija kôda u SAP Landscape Transformation, omogućuje izvršavanje proizvoljnog kôda.
- CVE-2025-27429 – Ranije otkrivena kritična injekcija kôda u SAP S/4HANA, sada ažurirana.
- CVE-2025-42951 – Ozbiljan propust u autorizaciji u SAP Business One.
- CVE-2025-42976 – Višestruke ranjivosti visokog rizika u SAP NetWeaver AS ABAP.
- CVE-2025-42946 – Propust tipa directory traversal srednje razine u SAP S/4HANA.
Tehnički detalji
Ranjivosti CVE-2025-42957 i CVE-2025-42950 proizlaze iz nepravilnog rukovanja ulaznim podacima, što napadačima s korisničkim pristupom omogućuje kreiranje zlonamjernih payloadova koji pozivaju injekciju kôda putem izloženih RFC sučelja. Eksploatacija omogućuje izvršavanje proizvoljnih ABAP naredbi s povišenim privilegijama, zaobilazeći uobičajene provjere autorizacije.
CVE-2025-27429 također je ranjivost injekcije kôda u SAP S/4HANA, sličnog učinka, koja je prvi put zakrpana u travnju 2025., a sada ponovno ažurirana.
CVE-2025-42951 omogućuje zaobilaženje provjera autorizacije i potencijalno podizanje privilegija unutar SAP Business One okruženja.
CVE-2025-42976 obuhvaća više propusta koji rezultiraju eskalacijom privilegija i neautoriziranim radnjama unutar ABAP okruženja NetWeavera.
CVE-2025-42946 predstavlja directory traversal propust kojim napadači mogu pristupiti neautoriziranim datotekama na poslužitelju.
Utjecaj
Uspješna eksploatacija ovih ranjivosti može dovesti do udaljenog izvršavanja kôda, neautoriziranog pristupa, eskalacije privilegija i curenja podataka u poslovnim SAP okruženjima.
S obzirom na ključnu ulogu SAP-a u poslovnim procesima, ove ranjivosti predstavljaju ozbiljan rizik za integritet podataka i kontinuitet poslovanja. Visoke CVSS ocjene ukazuju na veliku iskoristivost i potencijalno ozbiljan utjecaj.
Preporuke
- Odmah primijeniti službene SAP sigurnosne zakrpe objavljene u sklopu Security Patch Day – kolovoz 2025 na svim pogođenim proizvodima.
- Strogo ograničiti i nadzirati pristup RFC sučeljima kako bi se smanjila izloženost neovlaštenim korisnicima.
- Omogućiti i provoditi stroge mehanizme provjere autorizacije i valjanosti potpisa unutar SAP okruženja.
- Slijediti SAP-ove sigurnosne smjernice i najbolje prakse za minimiziranje napadnog vektora.
- Kontinuirano nadzirati SAP sustave radi otkrivanja neuobičajenih aktivnosti koje bi mogle ukazivati na pokušaje eksploatacije.
Reference
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2025.html
Prijava na newsletter
Budite u toku s najnovijim sigurnosnim upozorenjima, analizama i praktičnim savjetima naših stručnjaka.
