- شناسه CVE-2025-30010 :CVE
- CWE-601 :CWE
- yes :Advisory
- منتشر شده: می 13, 2025
- به روز شده: می 13, 2025
- امتیاز: 6.1
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: SAP_SE
- محصول: SRM
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
کامپوننت Live Auction Cockpit در SAP SRM دارای آسیبپذیری تغییر مسیر URL است که به مهاجم اجازه میدهد از طریق ایجاد لینک مخرب، کاربر را پس از کلیک به یک وبسایت مخرب هدایت کند.
توضیحات
این آسیبپذیری ناشی از استفاده از کامپوننت منسوخشده Java Applet است که امکان طراحی لینک مخرب را برای مهاجم غیرمجاز فراهم میکند. در صورتی که قربانی روی لینک کلیک کند، مرورگر به سایت مخرب هدایت میشود. این آسیب پذیری تأثیر اندکی بر محرمانگی(confidentiality) و یکپارچگی(integrity) سیستم دارد و بر در دسترسپذیری (availability) تأثیری نمیگذارد.
CVSS
| Score | Severity | Version | Vector String |
| 6.1 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at SRM_SERVER 7.14 | SAP Supplier Relationship Management (Live Auction Cockpit) |
لیست محصولات بروز شده
SAP در یادداشت امنیتی شماره 3578900 بهروزرسانی امنیتی را برای پچ این آسیبپذیری ارائه کرده است.
نتیجه گیری
با توجه به ماهیت این آسیبپذیری و احتمال فریب کاربران از طریق لینکهای مخرب، توصیه میشود سازمانها هر چه سریعتر پچ امنیتی منتشرشده را اعمال و از بهکارگیری کامپوننت های منسوخشده مانند Java Applet اجتناب کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-30010
- https://www.cvedetails.com/cve/CVE-2025-30010/
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-30010
- https://vuldb.com/?id.308382
- https://nvd.nist.gov/vuln/detail/CVE-2025-30010
- https://cwe.mitre.org/data/definitions/601.html
