SAP NetWeaver AS ABAP の複数の脆弱性
medium Nessus プラグイン ID 242117
Language:
概要
リモートの SAP NetWeaver ABAP サーバーは、複数の脆弱性の影響を受ける可能性があります。説明
リモートの SAP NetWeaver ABAP サーバーは、複数の脆弱性の影響を受ける可能性があります。- SAP NetWeaver Application Server abap および abap プラットフォームでは、認証されていない攻撃者が、悪意あるリンクを作成し、これを一般に公開する可能性があります。認証された被害者がこの悪意のあるリンクをクリックすると、挿入された入力データがWebサイトページ生成によってコンテンツを作成され、被害者のブラウザで実行されると、アプリケーションの可用性に影響を与えずに機密性と整合性にほとんど影響を与えません。CVE-2025-42956
- ABAP 用の SAP NetWeaver Application Server に認証チェックがないため、高い権限を持つ認証されたユーザーが、ユーザー権限の不十分な検証を悪用して、機密データベーステーブルにアクセスする可能性があります。過剰な許可のアクセス設定を利用することにより、重要なデータが不正に読み取られる可能性があり、保存されている情報の機密性に多大な影響を与えます。ただし、システムの整合性と可用性は影響を受けません。CVE-2025-42961
- SAP NetWeaver Application Server ABAP のオープンリダイレクトの脆弱性により、認証されていない攻撃者が、適切にサニタイズされていない場所で、悪意のあるスクリプトを埋め込む URL リンクを作成する可能性があります。被害者がこのリンクをクリックすると、被害者のブラウザ内でスクリプトが実行され、攻撃者がコントロールするサイトに被害者をリダイレクトします。これにより、攻撃者は Web クライアントに関連する制限された情報にアクセスしたり、改ざんしたりすることが可能です。この脆弱性がデータの可用性に影響を与えることはありませんが、機密性と整合性にかなりのリスクがあります。CVE-2025-42981
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
ベンダーのアドバイザリに従って適切なパッチを適用してください。参考資料
http://www.nessus.org/u?689b7591
プラグインの詳細
深刻度: Medium
ID: 242117
ファイル名: sap_netweaver_as_abap_jul_2025.nasl
バージョン: 1.1
タイプ: remote
ファミリー: Web Servers
公開日: 2025/7/15
更新日: 2025/7/15
設定: パラノイドモードの有効化
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2025-42981
CVSS v3
リスクファクター: Medium
基本値: 6.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
脆弱性情報
CPE: cpe:/a:sap:netweaver_application_server
必要な KB アイテム: Settings/ParanoidReport, installed_sw/SAP Netweaver Application Server (AS)
パッチ公開日: 2025/7/8
脆弱性公開日: 2025/7/8
参照情報
CVE: CVE-2025-42956, CVE-2025-42961, CVE-2025-42981
IAVA: 2025-A-0505