SAP je u utorak najavio objavu 18 novih i dvije ažurirane bezbjednosne bilješke kao dio aprilskog bezbjednosnog Patch Day-a 2025. godine, uključujući tri bilješke koje se odnose na ranjivosti kritičnog nivoa.
Prve dvije kritične ranjivosti, označene kao CVE-2025-27429 i CVE-2025-31330 (CVSS ocjena 9.9), predstavljaju greške injekcije koda u S/4HANA (Private Cloud) i Landscape Transformation (Analysis Platform).
Prema navodima firme za bezbjednost korporativnog softvera Onapsis, pomenuti CVE-ovi odnose se na isti bezbjednosni nedostatak, a SAP-ove zakrpe za njih onemogućavaju istu funkciju u oba proizvoda.
„Ukoliko se ne zakrpi, funkcionalni modul prihvata bilo koji tekst kao ulazni parametar i generiše ABAP izvještaj na osnovu tog unosa koristeći naredbu INSERT REPORT. Za uspješnu zloupotrebu dovoljno je imati S_RFC autorizaciju za dati funkcionalni modul ili za odgovarajuću funkcionalnu grupu“, objašnjava Onapsis.
Kao CVE-2025-30016 (CVSS ocjena 9.8), treća kritična ranjivost odnosi se na zaobilaženje autentifikacije u Financial Consolidation rješenju, što bi omogućilo neautentifikovanom napadaču da se predstavi kao administratorski korisnik.
Od preostalih bilješki objavljenih tokom SAP-ovog aprilskog Patch Day-a 2025. godine, pet se odnosi na ranjivosti visokog nivoa ozbiljnosti, uključujući i ažuriranu bilješku koja rješava nepropisnu autorizaciju u BusinessObjects Business Intelligence platformi.
SAP je takođe riješio ranjivosti visokog nivoa u NetWeaver Application Server ABAP, Commerce Cloud i Capital Yield Tax Management sistemima. Problem u Commerce Cloud-u, koji se odnosi na „race condition“ u Apache Tomcat-u, može biti iskorišćen samo ako su ispunjena tri uslova, od kojih nijedan nije podrazumijevano aktiviran.
U utorak je SAP objavio i ispravke za 10 ranjivosti srednjeg nivoa i jednu ranjivost niskog nivoa u sistemima Commerce Cloud, ERP BW Business Content, BusinessObjects, KMC WPC, NetWeaver, Solution Manager, S4CORE entitetu i S/4 HANA.
Iako SAP ne pominje da je neka od ovih ranjivosti iskorišćena u praksi, organizacijama se preporučuje da što prije primijene zakrpe.
Izvor: SecurityWeek
