CRITICAL✓ PATCH🇬🇧 English

CVE-2025-0066

SAP NetWeaver AS ABAP – nieautoryzowany dostęp do danych przez słabą kontrolę dostępu

CVSS 9.9v3.1pub. 2025-01-14upd. 2025-10-23

Podatność w komponencie Internet Communication Framework (ICF) platformy SAP NetWeaver AS for ABAP pozwala uwierzytelnionemu atakującemu na dostęp do chronionych zasobów systemowych. Słabe mechanizmy kontroli dostępu mogą prowadzić do poważnych naruszeń poufności, integralności i dostępności aplikacji.

Pokaż oryginał (EN)

Under certain conditions SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework) allows an attacker to access restricted information due to weak access controls. This can have a significant impact on the confidentiality, integrity, and availability of an application

🤖 Analiza AI
Jak działa

Przy spełnieniu określonych warunków środowiskowych, komponent Internet Communication Framework (ICF) w SAP NetWeaver AS for ABAP nie egzekwuje prawidłowo ograniczeń dostępu (CWE-732 – nieprawidłowo skonfigurowane uprawnienia do zasobów). Atakujący posiadający podstawowy dostęp sieciowy i minimalne uprawnienia może wykorzystać tę lukę do uzyskania dostępu do informacji i zasobów, do których nie powinien mieć uprawnień. Podatność nie wymaga interakcji po stronie użytkownika, a jej zasięg wykracza poza pierwotny kontekst aplikacji (Scope Changed).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do chronionych danych i funkcji systemu SAP, co może skutkować ujawnieniem wrażliwych informacji biznesowych, modyfikacją danych oraz zakłóceniem dostępności aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami – nota SAP nr 3550708 opublikowana w ramach SAP Security Patch Day (https://url.sap/sapsecuritypatchday). Zalecane jest niezwłoczne wdrożenie poprawki ze względu na krytyczny poziom CVSS 9.9.

Kogo dotyczy

SAP NetWeaver AS for ABAP oraz ABAP Platform (Internet Communication Framework) – SAP Basis; konkretne wersje wskazane w referencjach producenta (nota SAP 3550708)

Uwagi

Podatność opublikowana 14 stycznia 2025 roku w ramach cyklicznego SAP Security Patch Day. Wysoki wynik CVSS (9.9) wynika ze zmienionego zakresu ataku (Scope Changed) oraz pełnego wpływu na poufność, integralność i dostępność przy niskich wymaganiach dotyczących uprawnień atakującego.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Sap Basis

    APP
    Sap
    700701702731740750751752753754755756757758912+ 2 więcej
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-23687HIGH8.8ten sam produkt

SAP NetWeaver Application Server ABAP and ABAP Platform allows an authenticated attacker with normal privilege...

CVE-2025-0063HIGH8.8ten sam produkt

SAP NetWeaver AS ABAP and ABAP Platform does not check for authorization when a user executes some RFC functio...

CVE-2016-4551HIGH7.5ten sam produkt

The (1) SAP_BASIS and (2) SAP_ABA components 7.00 SP Level 0031 in SAP NetWeaver 2004s might allow remote atta...

CVE-2026-0484MEDIUM6.5ten sam produkt

Due to missing authorization check in SAP NetWeaver Application Server ABAP and SAP S/4HANA, an authenticated ...

CVE-2026-24312MEDIUM5.2ten sam produkt

An erroneous authorization check in SAP Business Workflow leads to privilege escalation. An authenticated admi...