SAP NetWeaver AS ABAP の複数の脆弱性

medium Nessus プラグイン ID 242117

概要

リモートの SAP NetWeaver ABAP サーバーは、複数の脆弱性の影響を受ける可能性があります。

説明

リモートの SAP NetWeaver ABAP サーバーは、複数の脆弱性の影響を受ける可能性があります。

- SAP NetWeaver Application Server abap および abap プラットフォームでは、認証されていない攻撃者が、悪意あるリンクを作成し、これを一般に公開する可能性があります。認証された被害者がこの悪意のあるリンクをクリックすると、挿入された入力データがWebサイトページ生成によってコンテンツを作成され、被害者のブラウザで実行されると、アプリケーションの可用性に影響を与えずに機密性と整合性にほとんど影響を与えません。CVE-2025-42956

- ABAP 用の SAP NetWeaver Application Server に認証チェックがないため、高い権限を持つ認証されたユーザーが、ユーザー権限の不十分な検証を悪用して、機密データベーステーブルにアクセスする可能性があります。過剰な許可のアクセス設定を利用することにより、重要なデータが不正に読み取られる可能性があり、保存されている情報の機密性に多大な影響を与えます。ただし、システムの整合性と可用性は影響を受けません。CVE-2025-42961

- SAP NetWeaver Application Server ABAP のオープンリダイレクトの脆弱性により、認証されていない攻撃者が、適切にサニタイズされていない場所で、悪意のあるスクリプトを埋め込む URL リンクを作成する可能性があります。被害者がこのリンクをクリックすると、被害者のブラウザ内でスクリプトが実行され、攻撃者がコントロールするサイトに被害者をリダイレクトします。これにより、攻撃者は Web クライアントに関連する制限された情報にアクセスしたり、改ざんしたりすることが可能です。この脆弱性がデータの可用性に影響を与えることはありませんが、機密性と整合性にかなりのリスクがあります。CVE-2025-42981

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

ベンダーのアドバイザリに従って適切なパッチを適用してください。

参考資料

http://www.nessus.org/u?689b7591

https://me.sap.com/notes/3617131

https://me.sap.com/notes/3610322

プラグインの詳細

深刻度: Medium

ID: 242117

ファイル名: sap_netweaver_as_abap_jul_2025.nasl

バージョン: 1.1

タイプ: remote

ファミリー: Web Servers

公開日: 2025/7/15

更新日: 2025/7/15

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2025-42981

CVSS v3

リスクファクター: Medium

基本値: 6.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

脆弱性情報

CPE: cpe:/a:sap:netweaver_application_server

必要な KB アイテム: Settings/ParanoidReport, installed_sw/SAP Netweaver Application Server (AS)

パッチ公開日: 2025/7/8

脆弱性公開日: 2025/7/8

参照情報

CVE: CVE-2025-42956, CVE-2025-42961, CVE-2025-42981

IAVA: 2025-A-0505