偵測

SAP NetWeaver AS ABAP 多個弱點

medium Nessus Plugin ID 242117

語言:

概要

遠端 SAP NetWeaver ABAP 伺服器可能受到多個弱點影響。

說明

遠端 SAP NetWeaver ABAP Server 可能受到多個弱點影響。

 - SAP NetWeaver 應用程式伺服器 ABAP 和 ABAP 平台允許未經驗證的攻擊者建立可公開取得的惡意連結。當經驗證的受害者點擊此惡意連結時網站頁面產生將使用插入的輸入資料建立在受害者的瀏覽器中執行時的內容導致對機密性和完整性造成較低影響而對應用程式的可用性沒有影響。 (CVE-2025-42956)

 - 由於 SAP NetWeaver Application 伺服器中缺少適用於 ABAP 的授權檢查具有高權限的經驗證使用者可惡意利用使用者權限的驗證不足而存取敏感資料庫表格。利用過度寬鬆的存取組態可能會在未經授權的情況下讀取重要資料進而對所儲存資訊的機密性造成重大影響。不過系統的完整性和可用性不會受到影響。 (CVE-2025-42961)

 - 由於 SAP NetWeaver Application Server ABAP 中的開放重新導向弱點未經驗證的攻擊者可特製 URL 連結將惡意指令碼內嵌於未正確清理的位置。當受害者點擊此連結時指令碼會在受害者的瀏覽器中執行進而將其重新導向至攻擊者控制的網站。這會允許攻擊者存取和/或修改與 web 用戶端相關的受限資訊。雖然弱點對資料可用性沒有影響,但它會對機密性和完整性造成相當大的風險。 (CVE-2025-42981)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

依廠商公告套用適當的修補程式。

另請參閱

http://www.nessus.org/u?689b7591

https://me.sap.com/notes/3617131

https://me.sap.com/notes/3610322

Plugin 詳細資訊

嚴重性: Medium

ID: 242117

檔案名稱: sap_netweaver_as_abap_jul_2025.nasl

版本: 1.1

類型: remote

系列: Web Servers

已發布: 2025/7/15

已更新: 2025/7/15

組態: 啟用 Paranoid 模式

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 5.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2025-42981

CVSS v3

風險因素: Medium

基本分數: 6.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

弱點資訊

CPE: cpe:/a:sap:netweaver_application_server

必要的 KB 項目: Settings/ParanoidReport, installed_sw/SAP Netweaver Application Server (AS)

修補程式發佈日期: 2025/7/8

弱點發布日期: 2025/7/8

參考資訊

CVE: CVE-2025-42956, CVE-2025-42961, CVE-2025-42981

IAVA: 2025-A-0505