SAP NetWeaver AS Java Apache Log4j 弱點 (3726899)

medium Nessus Plugin ID 320856

概要

遠端 SAP NetWeaver AS Java 伺服器受到 Apache Log4j 中弱點的影響。

說明

在遠端主機上偵測到的 SAP NetWeaver Application Server 版本Java受到 SAP 安全說明 3726899 中所述的 Apache Log4j 程式庫中弱點的影響:

- 即使 verifyHostName 配置屬性或 log4j2.sslVerifyHostName 系統內容設為 true,Apache Log4j Core 2.0-beta9 版中的 2.25.2 通訊端附加程式也不會執行對等憑證的 TLS 主機名稱驗證。此問題可能允許中間人攻擊者在某些情況下攔截或重新導向記錄流量。(CVE-2025-68161)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

依廠商公告套用適當的修補程式。

另請參閱

https://me.sap.com/notes/3726899

Plugin 詳細資訊

嚴重性: Medium

ID: 320856

檔案名稱: sap_netweaver_as_java_3726899.nasl

版本: 1.2

類型: Remote

系列: Web Servers

已發布: 2026/6/12

已更新: 2026/6/15

組態: 啟用 Paranoid 模式

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 2.1

百分位: 7.76

CVSS v2

風險因素: Medium

基本分數: 4

時間性分數: 3.1

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2025-68161

CVSS v3

風險因素: Medium

基本分數: 4.8

時間性分數: 4.3

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

風險因素: Medium

Base Score: 6.3

Threat Score: 6.3

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:L/SA:N

弱點資訊

CPE: cpe:/a:sap:netweaver_application_server

必要的 KB 項目: Settings/ParanoidReport, installed_sw/SAP Netweaver Application Server (AS)

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2026/6/9

弱點發布日期: 2025/12/18

參考資訊

CVE: CVE-2025-68161

IAVA: 2026-A-0556