SecurityBridge brīdināja, ka CVE-2025-42957 atļauj hakeriem ar minimālām sistēmas tiesībām uzstādīt “pilnīgu sistēmas kompromisu ar nepieciešamām minimālām pūlēm, ja veiksmīga izmantošana var viegli izraisīt krāpšanu, datu zādzību, spiegošanu vai izpirkuma programmatūras uzstādīšanu”.
Drošības firma turpināja rakstīt:
Uzbrucējam ir nepieciešami tikai zema līmeņa akreditācijas dati SAP sistēmā (jebkurš derīgs lietotāja konts ar atļaujām, lai izsauktu neaizsargāto RFC moduli un konkrēto S_DMIS autorizāciju ar aktivitāti 02), un nav nepieciešama lietotāja mijiedarbība.
Uzbrukuma sarežģītība ir zema, un to var veikt tīklā, tāpēc CVSS rādītājs ir tik augsts (9,9). Rezumējot, ļaunprātīga iekšējā informācija vai draudu aktieris, kurš ir ieguvis pamata lietotāju piekļuvi (piemēram, ar pikšķerēšanas palīdzību) varētu izmantot šo trūkumu, lai pilnībā kontrolētu SAP vidi.
SAP, no savas puses, brīdināts: “Šī kļūda darbojas kā aizmugure, ļaujot nesankcionētai piekļuvei SAP sistēmām un apdraudēt konfidencialitāti, integritāti un pieejamību. Bez tūlītējas mazināšanas jūsu SAP S/4HANA sistēmu varētu nopietni apdraudēt.” Amatā nav pieminēta aktīva izmantošana.
Citas ievainojamības SAP ziņoja, ka otrdien ietekmē virkni produktu, ieskaitot SAP Business One, SAP ainavu pārveidošanas replikācijas serveri, SAP Commerce Cloud, SAP DataHub, SAP biznesa plānošanu un konsolidāciju, SAP HCM, SAP BusinessObjects biznesa izlūkošanas platformu, SAP piegādātāju attiecību pārvaldību un Fiori. Šo ievainojamību smaguma pakāpe svārstās no 3,1 līdz 8,8.
Visas šajā amatā minētās ievainojamības, it īpaši tās, kurām ir augsta smaguma pakāpe, ir jālabo pēc iespējas ātrāk. SAP ir vairāk informācijas par savu drošības lapaApvidū
