Kritické zraniteľnosti v produktoch SAP

April 22, 2025

Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú 20 zraniteľností, z ktorých 3 sú označené ako kritické. CVE-2025-27429 a CVE-2025-31330 v produktoch SAP S/4HANA a SAP Landscape Transformation možno zneužiť na vzdialené vykonanie kódu. CVE-2025-30016 v produkte SAP Financial Consolidation možno zneužiť na obídenie mechanizmov autentifikácie.

Zraniteľné systémy:

SAP S/4HANA (Private Cloud) vo verziách S4CORE 102, 103, 104, 105, 106, 107, 108
SAP Landscape Transformation (Analysis Platform) vo verziách DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731
SAP Financial Consolidation vo verzii FINANCE 1010

Opis zraniteľnosti:

CVE-2025-27429, CVE-2025-31330 (CVSS 3.1 skóre: 9,9)

Zraniteľnosti v produktoch SAP S/4HANA a SAP Landscape Transformation (SLT) sa nachádzajú v bližšie nešpecifikovaných funkciách prístupných prostredníctvom volaní RFC (Remote Function Call). Vzdialený autentifikovaný útočník by ich mohol zneužiť na podvrhnutie špeciálne vytvoreného kódu ABAP (Advanced Business Application Programming), čo by mu umožnilo obídenie kontrol autorizácie a získanie úplnej kontroly nad systémom.

CVE-2025-30016 (CVSS 3.1 skóre: 9,8)

SAP Financial Consolidation obsahuje zraniteľnosť s identifikátorom CVE-2025-30016, ktorá spočíva v nedostatočnej implementácii mechanizmov autentifikácie. Zraniteľnosť by vzdialený neautentifikovaný útočník mohol zneužiť na obídenie mechanizmov autentifikácie a získanie administrátorského prístupu do systému.

Možné škody:

Vzdialené vykonanie kódu
Obídenie mechanizmov autentifikácie
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov na verzie špecifikované na stránke výrobcu.

Zdroje: