SAP發布12月例行更新，修補3套系統的重大漏洞

本週SAP發布12月例行更新（Security Patch Day），總共修補14個漏洞，其中的CVE-2025-42880、CVE-2025-55754，以及CVE-2025-42928評為重大層級，而受到矚目。

根據CVSS風險評分，最嚴重的是CVE-2025-42880，此漏洞影響SAP Solution Manager，為程式碼注入漏洞，CVSS風險值為9.9（滿分10分），該漏洞出現的原因是輸入缺乏過濾管理措施，通過身分驗證的攻擊者能在呼叫特定的遠端啟用功能模組觸發，並注入惡意程式碼，而有機會完全控制系統，高度影響系統機密性、完整性，以及可用性。長期觀察SAP例行更新並進行分析的資安業者Onapsis透露，SAP對於受影響的功能模組加上適當的輸入「消毒」的程序，來緩解這項漏洞，有鑑於Solution Manager是SAP系統的核心角色，Onapsis呼籲IT人員最好及時套用修補程式。

第二個重大漏洞是CVE-2025-55754，影響雲端電商平臺SAP Commerce Cloud，出現在該平臺採用的Apache Tomcat元件，屬於逃逸或控制序列出現的不當中和弱點，風險值為9.6分。附帶一提的是，SAP提及，該漏洞與另一個Tomcat高風險漏洞CVE-2025-55752有關，此為路徑遍歷漏洞。

最後一個重大漏洞CVE-2025-42928出現在SAP jConnect，此為遠端程式碼執行（RCE）漏洞，取得高權限的攻擊者可利用特製輸入觸發漏洞，有機會造成反序列化的現象，CVSS風險評為9.1。