CVE-2025-30018

چکیده

آسیب‌پذیری‌های متعددی در Live Auction Cockpit محصول SAP Supplier Relationship Management شناسایی شده است. این آسیب‌پذیری به مهاجم اجازه می‌دهد که یک درخواست سرویس‌گیرنده اپلیکیشن همراه با یک فایل XML، ارسال کند. هنگامی که این فایل تجزیه می‌شود، مهاجم قادر خواهد بود به فایل‌ها و داده‌های حساس دسترسی پیدا کند.

توضیحات

آسیب‌پذیری CVE-2025-30018 در Live Auction Cockpit محصول SAP Supplier Relationship Management، به دلیل عدم محدودیت صحیح در پردازش XML شناسایی شده است. این آسیب پذیری به مهاجم این امکان را می‌دهد که با ارسال یک فایل مخرب XML ، در هنگام پردازش  آن، به فایل‌ها و داده‌های حساس دسترسی پیدا کند. این آسیب‌پذیری محرمانگی (Confidentiality) اطلاعات را تهدید می‌کند و در عین حال هیچ تأثیری بر یکپارچگی (Integrity) یا در دسترس‌بودن (Availability) سیستم ندارد.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

SAP در یادداشت امنیتی شماره 3578900 به‌روزرسانی امنیتی را برای پچ این آسیب‌پذیری ارائه کرده است.

نتیجه گیری

به سازمان ها توصیه می شود به منظور کاهش ریسک افشای اطلاعات، هرچه سریع‌تر Live Auction Cockpit را به نسخه پچ شده به‌روزرسانی کنند. همچنین بررسی دقیق ترافیک ورودی و اعمال کنترل‌های امنیتی روی فایل‌های XML دریافتی می‌تواند از بروز سوءاستفاده‌های مشابه جلوگیری کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-30018
2. https://www.cvedetails.com/cve/CVE-2025-30018/
3. https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-30018
5. https://vuldb.com/?id.308388
6. https://nvd.nist.gov/vuln/detail/CVE-2025-30018
7. https://cwe.mitre.org/data/definitions/611.html