CVE-2025-42977

چکیده

یک آسیب‌پذیری از نوع Directory Traversal در محصول SAP NetWeaver Visual Composer نسخه 7.50 شناسایی شده است. این آسیب پذیری به‌دلیل عدم اعتبارسنجی مناسب مسیرهای ورودی توسط کاربران دارای سطح دسترسی بالا ایجاد شده است.

توضیحات

این آسیب پذیری امنیتی ناشی از اعتبارسنجی ناکافی مسیرهای فایل در SAP NetWeaver Visual Composer است. مهاجم با دسترسی سطح بالا می‌تواند با وارد کردن مسیرهای خاص، به فایل‌هایی خارج از دایرکتوری‌های مجاز دسترسی پیدا کند. این آسیب‌پذیری که تحت عنوان CVE-2025-42977 ثبت شده، می‌تواند از راه دور مورد سوءاستفاده قرار گیرد، هرچند نیاز به احراز هویت اولیه دارد. این آسیب‌پذیری مهاجم را قادر می‌سازد تا فایل‌های دلخواه را بخواند یا تغییر دهد و در نتیجه منجر به تهدید جدی محرمانگی (confidentiality) و در سطح پایین‌تری، یکپارچگی (integrity) داده‌ها می‌شود. آسیب‌پذیری از نوع Directory Traversal ( عبور از مسیر دایرکتوری) بوده و تحت CWE-22 طبقه‌بندی شده است. جزئیات فنی و کد اکسپلویت در دسترس نبوده، اما بهره‌برداری از آن آسان ارزیابی شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

شرکت SAP به روزرسانی امنیتی با شماره 3610591 (SAP Note 3610591) را برای این آسیب پذیری منتشر کرده است.

نتیجه گیری

به مدیران سیستم توصیه می‌شود در اسرع وقت پچ امنیتی مربوط به این آسیب‌پذیری را اعمال کنند تا از دسترسی غیرمجاز به فایل‌های حساس جلوگیری شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-42977
2. https://www.cvedetails.com/cve/CVE-2025-42977/
3. https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2025.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-42977
5. https://vuldb.com/?id.311791
6. https://nvd.nist.gov/vuln/detail/CVE-2025-42977
7. https://cwe.mitre.org/data/definitions/22.html