Critical SAP S/4HANA code injection vulnerability (CVE-2025-42957) exploited in the wild - patch immediately (09/04)
『このエクスプロイトは、SecurityBridge Threat Research Labsによって発見され、
即時パッチが不可欠です。
CVE-2025-42957 は、SAP S/4HANA (CVSS 9.9) における重要な ABAP コードインジェクションの脆弱性で、低い権限のユーザーが SAP システムを完全に制御できるようになります。
エグゼクティブ・サマリー
知っておくべきことは次のとおりです。
· SAPは8月11日にCVE-2025-42957(CVSS 9.9)th のパッチを提供しました。すぐに適用してください
· エクスプロイトは、SAP システムを完全に侵害するために、
· すべてのS/4 HANAリリース(Private CloudとOn-Premise)に影響します。
· 悪用成功により、オペレーティングシステムへのアクセスとSAP
· これには以下が含まれますが、これらに限定されません。
o SAPデータベースに直接データを削除して挿入する
o SAP_ALLでSAPユーザーを作成する
o パスワードハッシュのダウンロード
o ビジネスプロセスへの変更
』
YouTubeビデオがある。
NISTやCISAは米政府機関停止の影響を受けるし、"exploited in the wild"なので、注意継続必要である。
No comments:
Post a Comment