SAP NetWeaver AS ABAP の複数の脆弱性2025 年 10 月

medium Nessus プラグイン ID 270697

Language:

概要

リモートの SAP NetWeaver ABAP サーバーは、複数の脆弱性の影響を受ける可能性があります。

説明

リモートホストで検出された abap 用の SAP NetWeaver Application Server のバージョンは、2025 年 10 月の SAP Security Patch Day で開示されているとおり、複数の脆弱性の影響を受けます

- SAP NetWeaver AS abap および abap プラットフォームのメモリ破損の脆弱性により、認証されていない攻撃者が、破損した SAP ログオンチケットまたは SAP アサーションチケットを SAP アプリケーションサーバーに送信する可能性があります。これは、作業プロセスをクラッシュさせる NULL の逆参照につながります。その結果、可用性に低い影響を与えますが、機密性と整合性に影響はありません。CVE-2025-42902
- SAP NetWeaver Application Server abap の HTML 用の SAP GUI ベースのアプリケーションは、ユーザビリティを向上させるためにローカルブラウザストレージにユーザー入力を保存します。管理者権限またはオペレーティングシステムレベルで被害者のユーザーディレクトリへのアクセス権を持つ攻撃者が、このデータを読み取る可能性があります。トランザクションで提供されたユーザー入力によっては、漏えいされるデータは重要でないデータから機密性の高いデータまで、アプリケーションの機密性に高い影響を与える可能性があります。CVE-2025-0059

- SAP NetWeaver Application Server for abap のクロスサイトリクエスト偽造CSRFの脆弱性により、認証された攻撃者が、セッションマネージャーを介してトランザクションを直接開始し、最初のトランザクション画面および関連する認証チェックをバイパスする可能性があります。この脆弱性により、攻撃者は、通常は特定の権限を必要とするアクションの実行やトランザクションの実行を行うことができ、制限された機能への認証なしでのアクセスを可能にすることでシステムの整合性と機密性を侵害することができます。
この脆弱性が可用性に影響を与えることはありません。CVE-2025-42908

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。