Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-04231

Опубликовано: 08 апр. 2025
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость функционального модуля RFC-интерфейса программной платформы SAP S/4HANA связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код ABAP и получить несанкционированный доступ к системе

Вендор

SAP SE

Наименование ПО

SAP S/4HANA

Версия ПО

S4CORE 107 (SAP S/4HANA)
S4CORE 108 (SAP S/4HANA)
S4CORE 102 (SAP S/4HANA)
S4CORE 103 (SAP S/4HANA)
S4CORE 104 (SAP S/4HANA)
S4CORE 105 (SAP S/4HANA)
S4CORE 106 (SAP S/4HANA)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к RFC-интерфейсу уязвимого программного средства;
- сегментирование сети для ограничения доступа к RFC-интерфейсу уязвимого программного средства;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет);
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2025.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 60%
0.0039
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-27429

CVSS3: 9.9
nvd
10 месяцев назад

SAP S/4HANA allows an attacker with user privileges to exploit a vulnerability in the function module exposed via RFC. This flaw enables the injection of arbitrary ABAP code into the system, bypassing essential authorization checks. This vulnerability effectively functions as a backdoor, creating the risk of full system compromise, undermining the confidentiality, integrity and availability of the system.

github логотип

GHSA-87hf-jhfp-wp4g

CVSS3: 9.9
github
10 месяцев назад

SAP S/4HANA allows an attacker with user privileges to exploit a vulnerability in the function module exposed via RFC. This flaw enables the injection of arbitrary ABAP code into the system, bypassing essential authorization checks. This vulnerability effectively functions as a backdoor, creating the risk of full system compromise, undermining the confidentiality, integrity and availability of the system.

EPSS

Процентиль: 60%
0.0039
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2