SK-CERT Bezpečnostné varovanie V20250408-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.9 |
| Identifikátor |
| SAP produkty – viacero kritických bezpečnostných zraniteľností |
| Popis |
| Spoločnosť SAP vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých sú tri označené ako kritické. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-27429 sa nachádza v produkte SAP S/4HANA (Private Cloud), spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa prostredníctvom injekcie špeciálne upravených príkazov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód. Zneužitie zraniteľností s identifikátormi CVE-2025-27435, CVE-2025-26653 a CVE-2025-31332 vyžaduje interakciu zo strany používateľa. |
| Dátum prvého zverejnenia varovania |
| 8.4.2025 |
| CVE |
| CVE-2024-56337, CVE-2025-23186, CVE-2025-26653, CVE-2025-26654, CVE-2025-26657, CVE-2025-27428, CVE-2025-27429, CVE-2025-27435, CVE-2025-27437, CVE-2025-30013, CVE-2025-30014, CVE-2025-30015, CVE-2025-30016, CVE-2025-30017, CVE-2025-31330, CVE-2025-31331, CVE-2025-31332, CVE-2025-31333 |
| IOC |
| – |
| Zasiahnuté systémy |
| SAP Landscape Transformation (Analysis Platform) SAP Financial Consolidation SAP BusinessObjects Business Intelligence platform (Central Management Console) SAP NetWeaver Application Server ABAP SAP Commerce Cloud SAP Capital Yield Tax Management SAP NetWeaver and ABAP Platform (Service Data Collection) SAP Commerce Cloud (Public Cloud) SAP ERP BW Business Content SAP BusinessObjects Business Intelligence Platform SAP KMC WPC AP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML) SAP Solution Manager SAP S4CORE entity SAP NetWeaver Application Server ABAP (Virus Scan Interface) SAP NetWeaver SAP NetWeaver and ABAP Platform (Application Server ABAP) Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkazoch v sekcii ZDROJE |
| Následky |
| Vykonanie škodlivého kódu Eskalácia privilégií Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
| Zdroje |
| https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2025.html |
« Späť na zoznam
