SAP系统曝重大安全漏洞CVE-2025-42957，攻击者可低成本实现系统完全控制

SAP系统近日被曝出存在名为CVE-2025-42957的严重安全漏洞。该漏洞允许攻击者利用低级别的系统访问权限，通过网络以极低难度实现对SAP系统的完全控制。成功利用此漏洞可能导致数据盗窃、欺诈、间谍活动或勒索软件的部署。

根据安全研究公司SecurityBridge的报告，攻击者仅需拥有SAP系统的基础用户凭证，且具备调用易受攻击RFC模块的权限以及S_DMIS授权中的活动02权限，无需用户交互即可发起攻击。该漏洞的CVSS评分为9.9，表明其威胁程度极高。

SAP官方也确认了该漏洞的存在，并将其描述为一种“后门”，能够授予未经授权的访问权限，严重威胁SAP系统的机密性、完整性和可用性。SAP S/4HANA系统在未及时修复的情况下，可能面临严峻的安全风险。除CVE-2025-42957外，SAP还报告了影响SAP Business One、SAP Commerce Cloud等多个产品的其他漏洞，其严重性评级在3.1至8.8之间。

所有SAP用户，特别是拥有高危漏洞评级的系统，应立即应用补丁以防范潜在的系统被恶意利用。

查看消息来源