SAP NetWeaver AS ABAP 多个漏洞2025 年 10 月
medium Nessus 插件 ID 270697
语言:
简介
远程 SAP NetWeaver ABAP 服务器可能受到多个漏洞影响。描述
在远程主机上检测到的 SAP NetWeaver Application Server for ABAP 版本受到多个漏洞的影响如 2025 年 10 月 SAP 安全修补程序日中所披露- 由于 SAP NetWeaver AS ABAP 和 ABAP Platform 中存在内存损毁漏洞未经认证的攻击者可发送损毁的 SAP Logon Ticket 或 SAP Assertion Ticket 到 SAP 应用程序服务器。这会导致 NULL 取消引用进而造成工作进程崩溃。因此,这对可用性影响较小,且对机密性和完整性没有影响。 (CVE-2025-42902)
- SAP NetWeaver Application Server ABAP 中基于 SAP GUI for HTML 的应用程序将用户输入存储在本地浏览器存储中以提高可用性。具有管理权限或操作系统级别受害者用户目录访问权限的攻击者将能够读取此数据。根据事务中提供的用户输入,泄露的数据范围可能从非关键数据到高度敏感,从而对应用程序的机密性造成高度影响。 (CVE-2025-0059)
- 由于用于 ABAP 的 SAP NetWeaver Application Server 中存在跨站请求伪造 (CSRF) 漏洞经认证的攻击者可绕过首个交易屏幕和相关的授权检查直接通过会话管理器发起交易。此漏洞可允许攻击者执行通常需要特定权限的操作和事务从而通过允许对受限制功能进行未经授权的访问来危害系统的完整性和机密性。
此漏洞对可用性没有影响。 (CVE-2025-42908)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
根据供应商公告应用相应的修补程序。另见
http://www.nessus.org/u?9950e280
https://me.sap.com/notes/3627308
插件详情
严重性: Medium
ID: 270697
文件名: sap_netweaver_as_abap_oct_2025.nasl
版本: 1.2
类型: remote
系列: Web Servers
发布时间: 2025/10/17
最近更新时间: 2025/10/17
配置: 启用偏执模式
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 4.6
矢量: CVSS2#AV:L/AC:L/Au:S/C:C/I:N/A:N
CVSS 分数来源: CVE-2025-0059
CVSS v3
风险因素: Medium
基本分数: 6
矢量: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
漏洞信息
CPE: cpe:/a:sap:netweaver_application_server
必需的 KB 项: installed_sw/SAP Netweaver Application Server (AS), Settings/ParanoidReport
补丁发布日期: 2025/1/13
漏洞发布日期: 2025/1/13
参考资料信息
CVE: CVE-2025-0059, CVE-2025-42902, CVE-2025-42908
IAVB: 2025-A-0739