SAP修補S/4HANA、Landscape Transformation重大漏洞

SAP於本週二（8月12日）發布本月例行更新（Security Patch Day），一共修補15項資安漏洞，其中有兩項接近滿分的資安漏洞CVE-2025-42950、CVE-2025-42957，格外引人關注。

上述兩項漏洞都可被用於程式碼注入，分別影響SAP Landscape Transformation（SLT）的分析平臺，以及私有雲型態與本地建置的S/4HANA系統，對於這些漏洞帶來的影響，SAP提及攻擊者在取得使用者的權限下，就有機會透過RFC在特定的功能模組觸發漏洞，從而在目標系統注入任何ABAP程式碼，並繞過基本的授權檢查流程。這些漏洞可被拿來當作後門，產生整個系統可能遭到入侵的風險，從而破壞機密性、完整性、可用性。

特別的是，SAP對這兩項漏洞的說明幾乎一模一樣，長期觀察與分析SAP每月例行更新的資安業者Onapsis指出，兩者其實是完全相同的程式碼注入漏洞，這些漏洞存在於一項遠端啟用的SAP功能模組；對於SLT平臺來說，主要是影響已部署特定版本Data Migration Server（DMS）附加元件的SAP ECC用戶。

對於今年4月修補的重大漏洞CVE-2025-27429，SAP也在這次產品資安公告當中，標示他們已更新當中的說明，此為存在於S/4HANA的程式碼注入漏洞，CVSS達到9.9分，該公司補充說明的資訊？非SAP用戶無法知道變更的部分，根據Onapsis的透露，SAP是在支援套件及修補程式的段落敘述，加入額外資訊。