- شناسه CVE-2025-30011 :CVE
- CWE-497 :CWE
- yes :Advisory
- منتشر شده: می 13, 2025
- به روز شده: می 13, 2025
- امتیاز: 5.3
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: SAP_SE
- محصول: SRM
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در ماژول Live Auction Cockpit از سامانه SAP Supplier Relationship Management (SRM) شناسایی شده است که ناشی از استفادهکامپوننت منسوخشده Java Applet میباشد. این آسیبپذیری به مهاجم غیرمجاز اجازه میدهد درخواستهای مخرب ارسال کرده و اطلاعات داخلی سیستم را افشا کند.
توضیحات
این آسیبپذیری در پکیجهای آسیبپذیر SRM، امکان ارسال درخواستهای مخرب از سوی مهاجم غیرمجاز را فراهم میکند. با استفاده از این آسیبپذیری، مهاجم میتواند جزئیات داخلی نسخه سیستم را مشاهده کند. این آسیبپذیری تأثیرات زیادی بر محرمانگی (confidentiality)داشته، اما تأثیری بر یکپارچگی(integrity) یا در دسترس پذیری (availability) سامانه ندارد.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at SRM_SERVER 7.14 | SAP Supplier Relationship Management (Live Auction Cockpit) |
لیست محصولات بروز شده
SAP SRM Live Auction Cockpit (نسخه SRM_SERVER 7.14) بهروزرسانی امنیتی دریافت کرده است که آسیبپذیری مرتبط با کامپوننت منسوخشده Java Applet را برطرف میکند.
نتیجه گیری
به سازمان ها توصیه میشود هر چه سریعتر بهروزرسانیهای ارائهشده در یادداشت امنیتی 3578900 را اعمال کنند. استفاده از کامپوننت های منسوخشده میتواند ریسک افشای اطلاعات سیستم را افزایش دهد، بنابراین بهروزرسانی بهموقع نقش مهمی در کاهش سطح تهدید خواهد داشت.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-30011
- https://www.cvedetails.com/cve/CVE-2025-30011/
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-30011
- https://vuldb.com/?id.308380
- https://cvefeed.io/vuln/detail/CVE-2025-30011
- https://nvd.nist.gov/vuln/detail/CVE-2025-30011
- https://cwe.mitre.org/data/definitions/497.html
