خانه » CVE-2025-31325
هشدار‌های سایبری

CVE-2025-31325

Cross-Site Scripting (XSS) Vulnerability In SAP NetWeaver (ABAP Keyword Documentation)

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 6 بازدید
هشدار سایبری CVE-2025-31325
  • شناسه CVE-2025-31325 :CVE
  • CWE-79 :CWE
  • yes :Advisory
  • منتشر شده: ژوئن 10, 2025
  • به روز شده: ژوئن 10, 2025
  • امتیاز: 5.8
  • نوع حمله: Cross Site Scripting (XSS)
  • اثر گذاری: Information Disclosure
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: SAP_SE
  • محصول: SAP GRC
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری Cross-Site Scripting (XSS) در کامپوننت  ABAP Keyword Documentation در محصول  SAP NetWeaver نسخه 758 شناسایی شده است. این آسیب پذیری به مهاجم غیرمجاز اجازه می‌دهد با تزریق کد مخرب جاوااسکریپت از طریق پارامتری که به‌درستی محافظت نشده، صفحه وب را آلوده کند. هنگامی که کاربر قربانی صفحه را باز می‌کند، اسکریپت مخرب در مرورگر او اجرا شده و برای مهاجم دسترسی محدودی به اطلاعات لوکال فراهم می‌کند.

توضیحات

در این آسیب‌پذیری، SAP NetWeaver نسخه 758، قادر به خنثی‌سازی مناسب ورودی‌های کاربر در بخشی از کامپوننت ABAP Keyword Documentation نیست. مهاجم بدون نیاز به ورود یا احراز هویت می‌تواند پارامتری را به صورت مخرب وارد کند که موجب اجرای کد جاوااسکریپت در مرورگر کاربر می‌شود. این حمله نیازمند این است که کاربر قربانی به صفحه آلوده دسترسی پیدا کند (مثلاً با کلیک روی لینک مخرب). اگرچه تاثیر این آسیب‌پذیری محدود به محیط مرورگر است و داده‌ها و سیستم اصلی آسیب نمی‌بینند، اما می‌تواند برای سرقت اطلاعات لوکال مانند کوکی‌ها یا انجام حملات فیشینگ مورد استفاده قرار گیرد. این آسیب‌پذیری تاثیری روی یکپارچگی(integrity) داده‌ها و در دسترس‌پذیری (availability) سامانه ندارد و تنها در زمینه مرورگر کاربر رخ می‌دهد.

CVSS

Score Severity Version Vector String
5.8 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N

لیست محصولات آسیب پذیر

Versions Product
affected at SAP_BASIS 758 SAP NetWeaver (ABAP Keyword Documentation)

لیست محصولات بروز شده

شرکت SAP به روزرسانی امنیتی با شماره 3590887 (SAP Note 3590887) را برای این آسیب پذیری منتشر کرده است.

نتیجه گیری

با توجه به عدم نیاز به احراز هویت و سهولت اجرای حمله، توصیه می‌شود که در اسرع وقت پچ ارائه شده نصب شود تا از بروز سوءاستفاده جلوگیری گردد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-31325
  2. https://www.cvedetails.com/cve/CVE-2025-31325/
  3. https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2025.html
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-31325
  5. https://vuldb.com/?id.311790
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-31325
  7. https://cwe.mitre.org/data/definitions/79.html

همچنین ممکن است دوست داشته باشید

CVE-2025-5903

CVE-2025-5904

CVE-2025-5905

CVE-2025-47966

CVE-2025-33073

CVE-2025-32713

CVE-2025-33070

CVE-2025-33071

CVE-2025-33053

CVE-2025-23192

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.