SAP S4HANA爆高危漏洞,可致系统被完全控制
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
SAP S/4HANA 软件存在高危命令注入漏洞(CVE-2025-42957,CVSS 9.9),攻击者可利用低权限账户完全控制系统。所有版本均受影响,厂商已发布补丁,建议立即修复。
🎯
关键要点
- SAP S/4HANA 软件存在高危命令注入漏洞(CVE-2025-42957,CVSS 评分 9.9)。
- 攻击者可利用低权限账户完全控制系统,包括篡改数据库和窃取密码哈希值。
- 该漏洞允许攻击者通过 RFC 协议注入任意 ABAP 代码,绕过关键权限检查。
- 所有版本的 SAP S/4HANA(私有云和本地部署)均受影响。
- 厂商已于 2025 年 8 月 11 日发布补丁,建议立即修复。
- 攻击者可通过逆向分析 ABAP 补丁轻松构造利用代码。
- 攻击复杂度低且可通过网络远程执行,导致 CVSS 评分高达 9.9。
- 恶意内部人员或通过钓鱼获取用户访问权限的攻击者均可利用此漏洞。
❓
延伸问答
SAP S/4HANA 的高危漏洞是什么?
SAP S/4HANA 存在一个高危命令注入漏洞(CVE-2025-42957),CVSS 评分为 9.9。
攻击者如何利用这个漏洞?
攻击者可以利用低权限账户通过 RFC 协议注入任意 ABAP 代码,从而完全控制系统。
这个漏洞影响哪些版本的 SAP S/4HANA?
所有版本的 SAP S/4HANA(包括私有云和本地部署)均受到影响。
厂商对这个漏洞有什么应对措施?
厂商已于 2025 年 8 月 11 日发布补丁,建议用户立即修复。
利用这个漏洞可能导致什么后果?
成功利用该漏洞可能导致欺诈、数据窃取、间谍活动或勒索软件植入。
攻击者需要什么条件才能利用这个漏洞?
攻击者只需拥有低级凭证和特定权限,无需用户交互即可实施攻击。
➡️
