Kritické zraniteľnosti vo webových aplikačných serveroch SAP NetWeaver

Spoločnosť SAP vydala bezpečnostné aktualizácie svojho webového aplikačného servera NetWeaver, ktoré opravujú 8 zraniteľností, z čoho 2 sú označené ako kritické. CVE-2025-0070 a CVE-2025-0066 možno zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

• SAP NetWeaver Application Server Java vo verzii WD-RUNTIME 7.50
• SAP NetWeaver AS JAVA (User Admin Application) vo verziách ENGINEAPI 7.50, SERVERCORE 7.50, UMEADMIN 7.50
• SAP NetWeaver Application Server for ABAP and ABAP Platform vo verziách 7.22EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13, 9.14, KERNEL 7.22, KERNEL 7.53, KRNL64NUC 7.22, KRNL64UC 7.22, KRNL64UC 7.53
• SAP NetWeaver Application Server for ABAP and ABAP Platform vo verziách SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 758, SAP_BASIS 912, SAP_BASIS 913, SAP_BASIS 914

Opis zraniteľnosti:

CVE-2025-0070 (CVSS skóre 9,9)

Bližšie nešpecifikovaná kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený autentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégií a úplné narušenie dôvernosti, integrity a dostupnosti systému.

CVE-2025-0066 (CVSS skóre 9,9)

Kritická zraniteľnosť spočívajúcu v nesprávnom riadení prístupov by vzdialený autentifikovaný útočník mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom a úplné narušenie dôvernosti, integrity a dostupnosti systému.

CVE-2025-0063 (CVSS skóre 8,8)

Zraniteľnosť spočíva v nedostatočnom overovaní autorizácie pre niektoré moduly RFC a vzdialený autentifikovaný útočník by ju prostredníctvom SQL injekcie mohol zneužiť na získanie neoprávneného prístupu k databáze Informix.

Ostatné zraniteľnosti možno zneužiť na vzdialené vykonanie kódu a získanie neoprávneného prístupu k citlivým údajom.

Možné škody:

• Neoprávnený prístup k citlivým údajom
• Eskalácia privilégií
• Úplné narušenie dôvernosti, integrity a dostupnosti systému
• Vzdialené vykonanie kódu

Odporúčania:

Odporúčame bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované výrobcom.

Zdroje:

• https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2025.html
• https://www.cve.org/CVERecord?id=CVE-2025-0070
• https://www.cve.org/CVERecord?id=CVE-2025-0066
• https://www.cve.org/CVERecord?id=CVE-2025-0063
• https://www.bleepingcomputer.com/news/security/sap-fixes-critical-vulnerabilities-in-netweaver-application-servers/