- شناسه CVE-2025-42989 :CVE
- CWE-862 :CWE
- yes :Advisory
- منتشر شده: ژوئن 10, 2025
- به روز شده: ژوئن 10, 2025
- امتیاز: 9.6
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: نرم افزارهای شبکه و امنیت
- برند: SAP_SE
- محصول: SAP NetWeaver
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری بحرانی در محصول SAP NetWeaver Application Server for ABAP نسخههای 7.89، 7.93، 9.14 و 9.15 شناساییشده است که مرتبط با کامپوننت پردازشگر RFC Inbound میباشد. این آسیبپذیری از نوع افزایش دسترسی بوده و به مهاجم اجازه میدهد بدون بررسی مجوزهای لازم، عملیاتهایی را روی سیستم اجرا کند.
توضیحات
این آسیبپذیری به دلیل عدم بررسی مناسب مجوزها برای کاربران احراز هویتشده در فرآیند RFC Inbound رخ میدهد. مهاجم میتواند بدون عبور از کنترلهای دسترسی، به بخشهایی از سیستم دسترسی پیداکرده یا عملیاتی را اجرا کند. این مسئله یکپارچگی (Integrity) و دسترسیپذیری (Availability) سامانه را تهدید میکند. این آسیبپذیری بهسادگی قابل بهرهبرداری بوده، اما جزئیات فنی یا اکسپلویت منتشرنشده است.
CVSS
| Score | Severity | Version | Vector String |
| 9.6 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H |
لیست محصولات آسیبپذیر
| Versions | Product |
| affected at KERNEL 7.89
affected at 7.93 affected at 9.14 affected at 9.15 |
SAP NetWeaver Application Server for ABAP |
لیست محصولات بروز شده
شرکت SAP بهروزرسانی امنیتی با شماره 3600840 (SAP Note 3600840) را برای این آسیبپذیری منتشر کرده است.
نتیجهگیری
به کاربران توصیه میشود در اسرع وقت پچ امنیتی رسمی را از طریق مشاورهی SAP اعمال نمایند تا از هرگونه سوءاستفاده احتمالی جلوگیری شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-42989
- https://www.cvedetails.com/cve/CVE-2025-42989/
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2025.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-42989
- https://vuldb.com/?id.311810
- https://nvd.nist.gov/vuln/detail/CVE-2025-42989
- https://cwe.mitre.org/data/definitions/862.html
