Поделиться
Критические и высокоопасные «дыры» в сервере SAP позволяют повышать привилегии и получать доступ к закрытой информации
Январский кумулятивный патч SAP устраняет 14 уязвимостей, из которых две являются критическими и еще три – высокоопасными. Вендор рекомендует поставить обновления систем в приоритет.
Отнеситесь с вниманием
SAP выпустил обновления к серии уязвимостей в своем сервере приложений NetWeaver. Две из них относятся к критическому диапазону, еще три – к высокоопасному. Компания настоятельно рекомендует установить все обновления как можно скорее, чтобы «защитить свой ландшафт SAP».
Критический статус получили уязвимости CVE-2025-0066 и CVE-2025-0070: обе оцениваются в 9,9 балла по шкале угроз CVSS.
CVE-2025-0066 – это ошибка, которая может приводить к раскрытию данных в SAP NetWeaver AS для фреймворков ABAP и ABAP Platform (ABAP – высокоуровневый язык программирования для развертывания бизнес-платформ). Причина – слабый контроль доступа. В итоге потенциальный злоумышленник может получить доступ к закрытой информации.
Вторая критическая уязвимость – CVE-2025-0070 – связана с некорректной проверкой аутентификации, что в конечном счете может привести к повышению привилегий злоумышленника в системе и компрометации конфиденциальности, цельности и доступности данных.
Почти критические уязвимости
Две высокоопасные уязвимости – CVE-2025-0061 и CVE-2025-0063 – также вплотную подбираются к критической отметке: 8,7 и 8,8 балла, соответственно.
При этом индекс CVE-2025-0061 объединяет на самом деле сразу несколько уязвимостей в платформе SAP BusinessObjects. В комбинации они открывают неавторизованному злоумышленнику возможность перехватывать сессии и, как следствие, получать доступ к данным приложений и изменять их.
CVE-2025-0063 – это уязвимость класса «SQL-инъекция» в SAP NetWeaver AS, связанная с отсутствием проверки авторизации в некоторых модулях RFC. Как следствие, злоумышленник, обладающий базовыми привилегиями в системе, может скомпрометировать базу данных Informix.
«SAP является платформой для крупного бизнеса в самых разных отраслях, и возможность компрометации любого компонента его экосистемы угрожает множеству критических отраслей, – отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Выявленные уязвимости ослабляют или делают бесполезными механизмы защиты в затронутых продуктах, что может дорого обойтись корпоративным пользователям. Тем более, что SAP отнюдь не редко становится объектом недружелюбного интереса со стороны киберкриминала. Хакеры прекрасно знают, что там, где фигурирует SAP, будут и большие деньги».
Свежий кумулятивный патч SAP исправляет, помимо перечисленных выше, еще десять уязвимостей, из которых еще одна – CVE-2025-0069 – является высокопасной (7,8 балла). Она затрагивает пакет SAPSetup и приводит к возможности перехвата и подмены DLL. Остальные уязвимости получили средние или низкие оценки – от 6,5 балла и ниже.
Поделиться
Короткая ссылка
