SAP S4HANA爆高危漏洞,可致系统被完全控制
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
SAP S/4HANA 软件存在高危命令注入漏洞(CVE-2025-42957,CVSS 9.9),攻击者可利用低权限账户完全控制系统。所有版本均受影响,厂商已发布补丁,建议立即修复。
🎯
关键要点
- SAP S/4HANA 软件存在高危命令注入漏洞(CVE-2025-42957,CVSS 评分 9.9)。
- 攻击者可利用低权限账户完全控制系统,包括篡改数据库和窃取密码哈希值。
- 该漏洞允许攻击者通过 RFC 协议注入任意 ABAP 代码,绕过关键权限检查。
- 所有版本的 SAP S/4HANA(私有云和本地部署)均受影响。
- 厂商已于 2025 年 8 月 11 日发布补丁,建议立即修复。
- 攻击者可通过逆向分析 ABAP 补丁轻松构造利用代码。
- 攻击复杂度低且可通过网络远程执行,导致 CVSS 评分高达 9.9。
- 恶意内部人员或通过钓鱼获取用户访问权限的攻击者均可利用此漏洞。
➡️
