4月8日SAP發布本月例行更新,總共針對20項漏洞發布或更新資安公告,值得留意的是,其中有3項CVSS風險接近滿分的重大層級漏洞,相當危險。
這些漏洞為CVE-2025-27429、CVE-2025-31330、CVE-2025-30016,分別出現在S/4HANA、Landscape Transformation、Financial Consolidation等應用系統。其中,CVE-2025-27429、CVE-2025-31330都是程式碼注入漏洞,危險程度達到9.9分(滿分10分),CVE-2025-30016為身分驗證繞過漏洞,危險程度為9.8分。
針對CVE-2025-27429、CVE-2025-31330,SAP指出具有使用者權限的攻擊者能在曝露的功能模組觸發,而有機會在繞過基本的授權檢核機制的情況下,在系統注入任意的ABAP程式碼。SAP指出這些漏洞形同後門,會導致攻擊者能完全控制整個系統,破壞其機密性、完整性,以及可用性。
對於SAP在兩項漏洞提出幾乎完全一模一樣的說明,資安業者Onapsis表示,這兩個其實是相同的弱點,都存在於SAP的ECC選用附加元件資料遷移伺服器(Data Migration Server,DMIS),不過攻擊者想要利用存在必要條件,那就是要在對應的函數功能或是模組,通過S_RFC授權。
而對於第3項重大漏洞CVE-2025-30016,SAP指出,這是能讓攻擊者在未經授權的情況下存取管理員帳號的弱點,起因是身分驗證機制不當造成,同樣高度影響應用系統的機密性、完整性,以及可用性。
