- شناسه CVE-2025-30009 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: می 13, 2025
- به روز شده: می 13, 2025
- امتیاز: 6.1
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: SAP_SE
- محصول: SRM
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری CVE-2025-30009 در کامپوننت Live Auction Cockpit از SAP SRM شناسایی شده است که به مهاجم اجازه میدهد کد مخرب را در مرورگر کاربر اجرا کند. این آسیب پذیری امنیتی میتواند منجر به افشای اطلاعات یا تغییر دادهها در مرورگر قربانی شود.
توضیحات
این آسیبپذیری ناشی از استفاده از یک کامپوننت منسوخشده Java Applet در پکیج های آسیب پذیر SRM است که به مهاجم غیرمجاز امکان میدهد اسکریپت مخرب را در مرورگر قربانی تزریق و اجرا کند. میزان تأثیر این حمله محدود به مرورگر قربانی بوده و بر در دسترس پذیری سیستم تأثیری ندارد، اما میتواند منجر به افشای اطلاعات و تغییرات محدود در دادهها شود.
CVSS
| Score | Severity | Version | Vector String |
| 6.1 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at SRM_SERVER 7.14 | SAP Supplier Relationship Management (Live Auction Cockpit) |
لیست محصولات بروز شده
SAP در یادداشت امنیتی شماره 3578900 بهروزرسانی امنیتی را برای پچ این آسیبپذیری ارائه کرده است.
نتیجه گیری
با توجه به ماهیت این آسیبپذیری و احتمال فریب کاربران از طریق لینکهای مخرب، توصیه میشود سازمانها هر چه سریعتر پچ امنیتی منتشرشده را اعمال و از بهکارگیری کامپوننت های منسوخشده مانند Java Applet اجتناب کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-30009
- https://www.cvedetails.com/cve/CVE-2025-30009/
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-30009
- https://vuldb.com/?id.308381
- https://nvd.nist.gov/vuln/detail/CVE-2025-30009
- https://cwe.mitre.org/data/definitions/79.html
