Proizvođač poslovnog softvera SAP u utorak je najavio objavu 14 novih bezbjednosnih zakrpa u okviru Dana bezbjednosnih zakrpa za jun 2025. godine, uključujući bilješku koja se odnosi na ranjivost kritičnog nivoa u NetWeaver-u.
Označena kao CVE-2025-42989 (CVSS ocjena 9.6), ova kritična greška opisana je kao izostanak provjere autorizacije u aplikacionom serveru NetWeaver za ABAP.
Prema firmi za softversku bezbjednost Onapsis, problem se nalazi u okviru za udaljene funkcijske pozive (RFC) i omogućava napadačima da zaobiđu provjere autorizacije i podignu nivo svojih privilegija.
„Pod određenim uslovima, autentifikovani napadači mogu da zaobiđu standardnu provjeru autorizacije na autorizacionom objektu S_RFC kada koriste transakcione (tRFC) ili redne RFC-ove (qRFC), što vodi do eskalacije privilegija. Ovo omogućava napadaču da kritično utiče na integritet i dostupnost aplikacije,“ objašnjava Onapsis.
Organizacije koje primijene SAP-ovu bilješku možda će morati da dodijele dodatne S_RFC dozvole određenim korisnicima, ukazuje bezbjednosna firma.
Tokom Dana bezbjednosnih zakrpa za jun 2025, SAP je takođe objavio pet bezbjednosnih bilješki koje se odnose na ranjivosti visokog nivoa, šest koje rješavaju ranjivosti srednjeg nivoa, i dvije koje se bave problemima niskog nivoa.
Ranjivosti visokog nivoa uključuju otkrivanje informacija u GRC (AC dodatku), izostanak provjere autorizacije u Business Warehouse i Plug-In Basis, XSS grešku u BusinessObjects, propust u pristupu direktorijumima u NetWeaver Visual Composer-u i više grešaka u MDM Server-u.
Uspješna eksploatacija ovih ranjivosti može omogućiti napadačima da mijenjaju ili preuzimaju kontrolu nad prenesenim sistemskim akreditivima, brišu tabele baze podataka, pristupaju osjetljivim informacijama iz sesija, čitaju i mijenjaju proizvoljne fajlove, izazovu stanje uskraćivanja usluge (DoS) i preuzmu kontrolu nad postojećim klijentskim sesijama.
Između Dana bezbjednosnih zakrpa u maju i nove serije zakrpa, SAP je takođe ažurirao četiri bezbjednosne bilješke, uključujući dvije koje rješavaju ranjivosti visokog nivoa u BusinessObjects i Landscape Transformation (PCL Basis).
SAP ne pominje da je bilo koja od ovih ranjivosti iskorišćena u napadima, ali korisnicima se savjetuje da ažuriraju svoje aplikacije što je prije moguće, posebno nakon masovne eksploatacije dvije nedavne greške u NetWeaver-u.
Izvor: SecurityWeek
