Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-08254

Опубликовано: 08 июл. 2025
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость системы планирования ресурсов предприятия SAP S/4HANA и программного средства для управления цепочкой поставок SAP SCM (Characteristic Propagation) связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и получить несанкционированный доступ к системе путем создания специально сформированного отчета

Вендор

SAP SE

Наименование ПО

SAP S/4HANA
SAP SCM

Версия ПО

S4CORE 102 (SAP S/4HANA)
S4CORE 103 (SAP S/4HANA)
S4CORE 104 (SAP S/4HANA)
S4COREOP 105 (SAP S/4HANA)
S4COREOP 106 (SAP S/4HANA)
S4COREOP 107 (SAP S/4HANA)
S4COREOP 108 (SAP S/4HANA)
SCMAPO 713 (SAP SCM)
SCMAPO 714 (SAP SCM)
SCM 700 (SAP SCM)
SCM 701 (SAP SCM)
SCM 702 (SAP SCM)
SCM 712 (SAP SCM)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети с целью ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет);
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2025.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 65%
0.00491
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-42967

CVSS3: 9.9
nvd
7 месяцев назад

SAP S/4HANA and SAP SCM Characteristic Propagation has remote code execution vulnerability. This allows an attacker with user level privileges to create a new report with his own code potentially gaining full control of the affected SAP system causing high impact on confidentiality, integrity, and availability of the application.

github логотип

GHSA-2xw5-jhrf-jwg8

CVSS3: 9.1
github
7 месяцев назад

SAP S/4HANA and SAP SCM Characteristic Propagation has remote code execution vulnerability. This allows an attacker with high privileges to create a new report with his own code potentially gaining full control of the affected SAP system causing high impact on confidentiality, integrity, and availability of the application.

EPSS

Процентиль: 65%
0.00491
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2