SAP 修复19项安全漏洞,含 SQL Anywhere Monitor 硬编码凭证高危风险
- 浏览次数 694
- 喜欢 0
HackerNews 编译,转载请注明出处:
SAP近日发布2025年11月安全更新,共修复19项安全漏洞,其中包含SQL Anywhere Monitor组件中一处可导致远程代码执行的严重缺陷。
该漏洞编号为CVE-2025-42890(CVSS评分10.0),属于SQL Anywhere Monitor(非图形界面版)的密钥与密钥管理缺陷。安全公告指出,组件中存在的硬编码凭证允许攻击者执行任意代码,严重威胁系统机密性、完整性与可用性。
公告声明:"SQL Anywhere Monitor(非图形界面版)将凭证直接嵌入代码,导致资源或功能暴露给非目标用户,使攻击者可能实现任意代码执行。这将对系统保密性、完整性和可用性造成重大影响。"专家建议临时禁用SQL Anywhere Monitor并删除所有现有监控数据库实例。
同时,SAP还修复了SAP Solution Manager中编号CVE-2025-42887(CVSS评分9.9)的严重代码注入漏洞。该缺陷源于输入验证缺失,攻击者可在调用远程功能模块时插入恶意代码。公告强调:"由于缺乏输入验证,SAP Solution Manager允许经过身份验证的攻击者在调用远程功能模块时插入恶意代码。这可能使攻击者获得系统完全控制权,从而对系统机密性、完整性和可用性产生重大影响。"
此外,SAP还针对10月补丁日发布的安全笔记推出更新,修复了SAP NetWeaver AS Java中涉及不安全反序列化的严重漏洞(CVE-2025-42944)。目前尚未确认本月修复的安全漏洞是否已被主动利用。
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文