- شناسه CVE-2025-43001 :CVE
- CWE-266 :CWE
- no :Advisory
- منتشر شده: جولای 8, 2025
- به روز شده: جولای 8, 2025
- امتیاز: 6.9
- نوع حمله: Unknown
- اثر گذاری: Privilege Escalation
- حوزه: ابزارهای مدیریت فایل و فشردهسازی
- برند: SAP_SE
- محصول: SAPCAR
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در SAPCAR نسخههای 7.53 و 7.22EXT شناسایی شده است. این آسیب پذیری به کاربران با دسترسی بالا اجازه میدهد با تغییر مجوزهای دایرکتوریها، سطح دسترسی خود را افزایش دهند.
توضیحات
این آسیبپذیری در SAPCAR به دلیل ضعف در مدیریت مجوزهای دایرکتوری رخ میدهد. کاربرانی که با دسترسی بالا میتوانند مجوزهای دایرکتوریهای جاری و والد مربوط به کاربر یا فرآیند استخراج آرشیو را تغییر دهند. این آسیب پذیری به مهاجم اجازه میدهد فایلهای حساس را بدون نقض امضای آرشیو دستکاری کندکه این موضوع میتواند منجربه افزایش سطح دسترسی شود. با این حال، این آسیب پذیری تأثیر کمی بر محرمانگی و در دسترس پذیری سیستم دارد. شرکت SAP_SE تا 8 جولای 2025 هیچ نسخهی پچ شده ای را منتشر نکرده و وضعیت پچ نامشخص است.
CVSS
| Score | Severity | Version | Vector String |
| 6.9 | MEDIUM | 3.1 | CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:H/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at SAP_CAR 7.53
affected at 7.22EXT |
SAPCAR |
نتیجه گیری
به کاربران توصیه می شود دسترسی به SAPCAR را محدود کرده و از اجرای آرشیوها توسط کاربران غیرمجاز جلوگیری کنند. همچنین کاربران به منظور دریافت پچ باید اطلاعیههای امنیتی SAP را بهطور منظم بررسی کنند.
منابع
