Cập nhật bảo mật SAP được phát hành vào tháng 3 năm 2025 giải quyết 21 lỗ hổng mới và cập nhật ba Thông báo Bảo mật đã phát hành trước đó. Các lỗ hổng chính bao gồm:
-
Vulnerability Cross-Site Scripting (XSS) trong SAP Commerce (Swagger UI):
- CVE-2025-27434 (CVSS 8.8): Lỗ hổng này cho phép một kẻ tấn công không được xác thực tiêm mã độc, có thể dẫn đến tác động nặng nề đến bảo mật, tính toàn vẹn và khả năng sẵn có của dữ liệu.
-
Thiếu kiểm tra ủy quyền trong SAP NetWeaver (ABAP Class Builder):
- CVE-2025-26661 (CVSS 8.8): Lỗ hổng này có thể cho phép một kẻ tấn công đạt được các mức truy cập cao hơn, dẫn đến việc nâng cấp đặc quyền và có khả năng tiết lộ thông tin nhạy cảm.
-
Nhiều lỗ hổng trong SAP Commerce Cloud:
- SAP đã xác định các lỗ hổng trong Apache Tomcat trong SAP Commerce Cloud, có thể khiến các tổ chức bị phơi bày trước việc thực thi mã từ xa (RCE) và các mối đe dọa khác. SAP khuyến cáo khách hàng đang sử dụng các phiên bản HY-COM 2205 và COM-CLOUD 2211 áp dụng các bản sửa lỗi ngay lập tức.
-
Vulnerability vượt qua xác thực trong SAP Approuter:
- CVE-2025-24876: Các kẻ tấn công có thể tiêm mã ủy quyền không hợp lệ để truy cập vào các hệ thống được bảo vệ. Lỗ hổng này đã được công bố lần đầu tiên vào tháng 2 năm 2025 và tháng 7 năm 2024.
-
Các lỗ hổng độ nghiêm trọng trung bình và thấp:
- Các lỗ hổng khác được giải quyết bao gồm xác thực bị hỏng trong lớp dịch vụ của SAP Business One (CVE-2025-26658), lỗ hổng XSS trong máy chủ ứng dụng ABAP của SAP NetWeaver (CVE-2025-25242), và thiếu kiểm tra ủy quyền trong SAP Business Warehouse (CVE-2025-25244).
Kính mong các khách hàng SAP xem xét và thực hiện các bản cập nhật bảo mật mới nhất càng sớm càng tốt để bảo vệ hệ thống của họ khỏi các cuộc tấn công tiềm tàng.
