SAP S4HANA爆高危漏洞,可致系统被完全控制
内容提要
SAP S/4HANA 软件存在高危命令注入漏洞(CVE-2025-42957,CVSS 9.9),攻击者可利用低权限账户完全控制系统。所有版本均受影响,厂商已发布补丁,建议立即修复。
关键要点
-
SAP S/4HANA 软件存在高危命令注入漏洞(CVE-2025-42957,CVSS 评分 9.9)。
-
攻击者可利用低权限账户完全控制系统,包括篡改数据库和窃取密码哈希值。
-
该漏洞允许攻击者通过 RFC 协议注入任意 ABAP 代码,绕过关键权限检查。
-
所有版本的 SAP S/4HANA(私有云和本地部署)均受影响。
-
厂商已于 2025 年 8 月 11 日发布补丁,建议立即修复。
-
攻击者可通过逆向分析 ABAP 补丁轻松构造利用代码。
-
攻击复杂度低且可通过网络远程执行,导致 CVSS 评分高达 9.9。
-
恶意内部人员或通过钓鱼获取用户访问权限的攻击者均可利用此漏洞。
延伸解读
漏洞影响范围
SAP S/4HANA 的高危命令注入漏洞影响所有版本,包括私有云和本地部署。这意味着无论企业使用何种部署方式,都需关注此漏洞的风险,及时更新补丁以防止潜在的攻击。
攻击者的利用方式
攻击者可以通过低权限账户利用该漏洞,进行系统完全控制。这种情况尤其危险,因为攻击者无需高权限即可实施攻击,企业需加强对用户权限的管理,防止恶意内部人员的利用。
补丁的重要性
厂商已发布补丁以修复该漏洞,建议企业立即进行更新。未及时修复的系统将面临被攻击的高风险,可能导致数据泄露、财务损失等严重后果。
攻击复杂度与风险
该漏洞的攻击复杂度低,且可通过网络远程执行,CVSS评分高达9.9,表明其风险极高。企业应定期进行安全审计,确保系统安全性,防止此类高危漏洞的影响。
延伸问答
SAP S/4HANA 的高危漏洞是什么?
SAP S/4HANA 存在一个高危命令注入漏洞(CVE-2025-42957),CVSS 评分为 9.9。
攻击者如何利用这个漏洞?
攻击者可以利用低权限账户通过 RFC 协议注入任意 ABAP 代码,从而完全控制系统。
这个漏洞影响哪些版本的 SAP S/4HANA?
所有版本的 SAP S/4HANA(包括私有云和本地部署)均受到影响。
厂商对这个漏洞有什么应对措施?
厂商已于 2025 年 8 月 11 日发布补丁,建议用户立即修复。
利用这个漏洞可能导致什么后果?
成功利用该漏洞可能导致欺诈、数据窃取、间谍活动或勒索软件植入。
攻击者需要什么条件才能利用这个漏洞?
攻击者只需拥有低级凭证和特定权限,无需用户交互即可实施攻击。
