【雲智維資安預警通知】


一、摘要
 
        SAP 存在多個漏洞，遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程式碼、洩露敏感資料及資料篡改。

二、存在風險

        漏洞出現在名為SQL Anywhere Monitor的系統，是屬於安全性不足的金鑰及機密管理而造成的漏洞，起因是此應用程式將憑證嵌入程式碼，導致特定資源或功能曝露，攻擊者有機會藉此執行任何程式碼，使得相關系統的機密性、完整性，以及可用性面臨高風險。一旦IT人員套用修補程式，將會完全移除SQL Anywhere Monitor，假如無法及時套用修補程式，應停止使用此系統，並且刪除所有SQL Anywhere Monitor資料庫的實體。

        另一項重大漏洞CVE-2025-42887，影響SAP Solution Manager，為程式碼注入型態的弱點，CVSS風險值為9.9，問題出在對於置入的程式碼缺乏過濾與管控，通過身分驗證的攻擊者在呼叫能遠端啟用的功能模組過程裡，插入惡意程式碼，進而對系統完全控制，對於機密性、完整性，以及可用性造成重大影響。Onapsis也透露SAP對此漏洞的處理方法，是增加輸入檢查機制，大量排除非英數的字元因應。

受影響之系統/漏洞描述：

SQL Anywhere Monitor (Non-Gui)

SYBASE_SQL_ANYWHERE_SERVER v17.0
SAP NetWeaver AS Java

SERVERCORE 7.50
SAP Solution Manager

ST 720
SAP CommonCryptoLib

CRYPTOLIB 8
SAP HANA JDBC Client

HDB_CLIENT 2.0
SAP Business Connector

SAP BC 4.8（OS Command Injection）
SAP BC 4.8（Path Traversal）
SAP BC 4.8（Open Redirect）
SAP BC 4.8（Reflected XSS）
SAP NetWeaver Enterprise Portal

EP-BASIS 7.50
EP-RUNTIME 7.50
SAP S/4HANA Landscape (SAP E-Recruiting BSP)

S4ERECRT 100/200
ERECRUIT 600-617
ERECRUIT 800-802
SAP HANA 2.0 (hdbrss)

HDB 2.00
SAP GUI for Windows

BC-FES-GUI 8.00
BC-FES-GUI 8.10
SAP Starter Solution (PL SAFT)

SAP_APPL 600-606, 616
SAP_FIN 617-618, 700, 720, 730
S4CORE 100-104
SAP NetWeaver Application Server Java

ENGINEAPI 7.50
EP-BASIS 7.50
SAP Business One (SLD)

B1_ON_HANA 10.0
SAP-M-BO 10.0
SAP S4CORE (Manage Journal Entries)

S4CORE 104-108
SAP NetWeaver Application Server for ABAP (Migration Workbench)

SAP_BASIS 700-758
SAP_BASIS 816
SAP Fiori for SAP ERP

SAP_GWFND 740-758


 
三、建議改善措施：
           企業及使用者如有上述漏洞版本應儘速更新。
 
       情資報告連結：https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2025.html