Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-16188

Опубликовано: 12 авг. 2025
Источник: fstec
CVSS3: 4.3
CVSS2: 4
EPSS Низкий

Описание

Уязвимость компонента Supplier invoice программной платформы SAP S/4HANA связана с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности

Вендор

SAP SE

Наименование ПО

SAP S/4HANA

Версия ПО

S4CORE 107 (SAP S/4HANA)
S4CORE 108 (SAP S/4HANA)
S4CORE 102 (SAP S/4HANA)
S4CORE 103 (SAP S/4HANA)
S4CORE 104 (SAP S/4HANA)
S4CORE 105 (SAP S/4HANA)
S4CORE 106 (SAP S/4HANA)
S4CORE 109 (SAP S/4HANA)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2025.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 9%
0.00033
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-42934

CVSS3: 4.3
nvd
6 месяцев назад

SAP S/4HANA Supplier invoice is vulnerable to CRLF Injection. An attacker with user-level privileges can bypass the allowlist and insert untrusted sites into the 'Trusted Sites' configuration by injecting line feed (LF) characters into application inputs. This vulnerability has a low impact on the application's integrity and no impact on confidentiality or availability.

github логотип

GHSA-hcg5-jj2p-p5vq

CVSS3: 4.3
github
6 месяцев назад

SAP S/4HANA Supplier invoice is vulnerable to CRLF Injection. An attacker with user-level privileges can bypass the allowlist and insert untrusted sites into the 'Trusted Sites' configuration by injecting line feed (LF) characters into application inputs. This vulnerability has a low impact on the application's integrity and no impact on confidentiality or availability.

EPSS

Процентиль: 9%
0.00033
Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2