SAP修補供應商關係管理平臺重大漏洞，問題出在攻擊者能趁機以管理員身分執行OS命令

本週二SAP發布7月份Security Patch Day例行更新，其中最值得留意的部分，是存在於供應商關係管理平臺（Supplier Relationship Management，SRM）的滿分漏洞CVE-2025-30012，非常危險，IT人員應儘速處理。

這項漏洞存在於SRM的Live Auction Cockpit工具，起因是此工具搭配已經棄用的Java Applet元件，未通過身分驗證的攻擊者可以使用特定的格式編碼，來發送惡意酬載請求。

一旦伺服器端程式（Servlet）收到請求並解碼，就會造成資料的反序列化，從而讓攻擊者以SAP管理員執行任意的作業系統命令，嚴重影響應用程式的機密性、完整性、可用性。

本次SAP一共修補27個漏洞，其中有6個評為重大層級，另一個接近滿分的程式碼注入漏洞CVE-2025-42967也相當危險，此漏洞影響ERP系統S/4HANA、供應鏈管理平臺（Supply Chain Management，SCM），存在於這些產品的Characteristic Propagation功能，屬於遠端程式碼執行（RCE）漏洞。具備一般使用者權限的攻擊者能以自己的程式碼產生新報告，從而完全控制存在漏洞的SAP系統，CVSS風險評為9.9分。