| CVE編號 | CVE-2025-0070、CVE-2025-0066、CVE-2025-0063 |
|---|---|
| 影響產品 | SAP NetWeaver ABAP伺服器、ABAP平台 |
| 解決辦法 | 請至官方網站進行修補:https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2025.html |
| 張貼日 | 2025-01-22 |
| 上稿單位 | TWCERT/CC |
- 內容說明:
SAP發布一月份例行更新,共修補14項漏洞,其中3項針對NetWeaver ABAP伺服器、ABAP平台進行修補。ABAP(Advanced Business Application Programming)是由SAP自行開發且運用於SAP應用系統環境的程式語言。
【CVE-2025-0070,CVSS:9.9】
此漏洞允許經過身分驗證的攻擊者,對系統進行不當訪問,導致權限提升。
【CVE-2025-0066,CVSS:9.9】
該漏洞存在於網路通訊框架元件中,攻擊者有機會藉由存取控制不當而存取受管制的資訊。
【CVE-2025-0063,CVSS:8.8】
此為SQL注入漏洞,攻擊者利用某些未進行授權檢查的RFC功能函數,導致具有基本用戶權限的攻擊者可控制Informix資料庫中的資料。 - 影響平台:
SAP NetWeaver ABAP伺服器和 ABAP 平台的版本如下:KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13, 9.14, SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 912, SAP_BASIS 913, SAP_BASIS 914