CVE-2025-42993

چکیده

یک آسیب‌پذیری در SAP S/4HANA (Enterprise Event Enablement) شناسایی شده است  که به دلیل ضعف در بررسی مجوزها، یک مهاجم با دسترسی به  تنظیمات شبکه (Inbound Binding Configuration) می‌تواند مقصد RFC ایجاد کرده و آن را به یک کاربر با سطح دسترسی بالا اختصاص دهد. این کار باعث می‌شود تا مهاجم از دسترسی های این کاربر برای اجرای کد دلخواه استفاده کند.

توضیحات

یک آسیب پذیری در نسخه‌های SAP S/4HANA 758 و SAP_GWFND 757 شناسایی شده است که به مهاجم اجازه می‌دهد بدون بررسی مجوزها، به منابع حساس دسترسی پیدا کند. با استفاده از این آسیب پذیری، مهاجم قادر به استفاده از مقصد RFC (RFC destination)  شده و می تواند کد دلخواه را با سطح دسترسی بالای کاربر اجرا کند.

اگرچه این آسیب‌پذیری تأثیر کمی بر در دسترس‌پذیری (Availability) دارد، اما می‌تواند به طور قابل توجهی بر محرمانگی (Confidentiality) و یکپارچگی (Integrity) سیستم تأثیر بگذارد. این آسیب‌پذیری به راحتی از راه دور قابل بهره‌برداری است، اما برای موفقیت در بهره‌برداری، نیاز به احراز هویت اضافی وجود دارد. هیچگونه اکسپلویت عمومی برای این آسیب‌پذیری وجود ندارد.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

شرکت SAP به روزرسانی امنیتی با شماره 3580384 (SAP Note 3580384) را برای این آسیب پذیری منتشر کرده است.

نتیجه گیری

به منظور کاهش ریسک احتمالی، به کاربران توصیه می‌شود در اسرع وقت پچ امنیتی ارائه‌شده را نصب کرده و دسترسی‌های غیرمجاز به Inbound Binding Configuration را محدود کنند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-42993
2. https://www.cvedetails.com/cve/CVE-2025-42993/
3. https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2025.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-42993
5. https://vuldb.com/?id.311797
6. https://nvd.nist.gov/vuln/detail/CVE-2025-42993
7. https://cwe.mitre.org/data/definitions/862.html