10月14日SAP發布本月例行更新(Security Patch Day),修補13項資安漏洞,並更新4則已發布的公告內容。其中最受到矚目的部分,是被列為重大層級的CVE-2025-42944、CVE-2025-42937,以及CVE-2025-42910。
這些重大層級的漏洞又以風險值達到滿分10分的CVE-2025-42944相當特別,因為這項漏洞SAP上個月已經修補過, 本月他們發布新的3660659號公告,表示是為了NetWeaver AS Java提供新的安全強化措施。參與漏洞修補過程的資安業者Onapsis透露,這項防護機制是實作Java虛擬機器(JVM)的過濾器(jdk.serialFilter),目的是防範特定的類別出現反序列化的現象。
危險程度排名第二的資安漏洞是CVE-2025-42937,此為資料夾路徑穿越弱點,出現在列印服務系統SAP Print Service(SAPSprint),起因是對於使用者提供的路徑資訊驗證不夠完整,未經授權的攻擊者可存取所在位置的上層資料夾,並覆寫系統檔案,從而高度影響應用程式的機密性、完整性,以及可用性,風險值為9.8。
最後一個重大漏洞CVE-2025-42910,與供應商關係管理(Supplier Relationship Management)平臺有關,可被用於上傳任意檔案,且不受限制。該弱點發生的原因在於,並未驗證檔案的類型及內容,通過授權的攻擊者能用來上傳任意檔案,並引誘使用者下載及執行,風險值為9分。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-11-30
2025-12-01
2025-12-04
Advertisement