SAP修補NetWeaver、NetWeaver AS Java重大層級漏洞

9月9日SAP發布本月例行更新（Security Patch Day），總共修補21項資安漏洞（上個月是15個），值得留意的是，當中包含3個危險程度達到重大層級的漏洞，其中1個達到滿分（10分）、1個接近滿分，相當危險。

上述重大層級漏洞當中最危險的是CVE-2025-42944，此為NetWeaver反序列化漏洞，攻擊者可在未經授權的情況下，透過特定的公開連接埠傳送惡意酬載，而有機會藉由RMI-P4模組觸發漏洞，CVSS風險達到10分。一旦不受信任的Java物件面臨反序列化處理，就有可能用於執行任意作業系統的命令，嚴重危害應用系統的機密性、完整性、可用性。長期解析SAP每月例行更新的資安業者Onapsis指出，攻擊者若是成功利用，就有可能完全入侵整個應用程式；若暫時無法套用修補程式，IT人員應管制P4連接埠因應。

另一個風險接近滿分的漏洞是CVE-2025-42922，存在於NetWeaver AS Java，攻擊者取得非管理員的使用者身分，在通過身分驗證的情況下，可藉存在特定服務的弱點而上傳任意檔案，有可能完全入侵系統，嚴重破壞資安，風險值為9.9。

第3個重大漏洞CVE-2025-42958，為NetWeaver缺乏身分驗證檢查造成的弱點，影響執行在IBM i系列作業系統的NetWeaver，具有高權限的使用者，能在未經授權的情況下存取管理員或特權功能，而能對於敏感資訊進行讀取、修改，或是刪除，風險值為9.1。

這次SAP也對2023年3月揭露的CVE-2023-27500更新公告內容，此漏洞存在於NetWeaver AS for ABAP及ABAP平臺，風險值為9.6。不過，非SAP用戶無法得知該公司補充說明的資訊，而根據資安業者Onapsis的透露，主要是新增修正版的指引。