SAP發布2月例行更新，修補19項資安漏洞

本週SAP發布二月份例行更新，總共修補19項新漏洞，並對兩則先前發布的公告調整內容，這次該公司修補的範圍，涵蓋商業智慧平臺BusinessObjects、供應鏈關係管理平臺SRM、Node.js程式庫Approuter、資料整合平臺Enterprise Project Connection、記憶體資料庫HANA等應用系統及元件。

根據CVSS風險評分高低，最嚴重的是評為8.7分的CVE-2025-0064，此為授權不當造成的弱點，出現在BusinessObjects的集中管理主控臺，取得管理員權限的攻擊者可在特定情況下取得或產生密碼片語（passphrase），而能假冒任意使用者，從而高度影響機密性及完整性。

另一個相當嚴重的漏洞是CVE-2025-25243，此漏洞發生在SRM，為路徑穿越漏洞，危險程度達到8.6。未經授權的攻擊者可藉由公開的Servlet程式，於目標網路環境下載任意檔案，過程裡完全不須使用者互動。

存在於Node.js程式庫套件Approuter的CVE-2025-24876，也值得留意，此為身分驗證繞過漏洞，攻擊者可注入惡意酬載，而在使用者交換授權碼的過程中，偷取連線階段（Session），風險值8.1。

附帶一提，SAP也對去年2月公布的NetWeaver AS Java跨網站指令碼（XSS）漏洞CVE-2024-22126更新說明，降低風險評分為6.1（去年2月公告為8.8分）。