【漏洞预警】SAP针对旗下多款产品发布重大资安公告

转发 台湾电脑网路危机处理暨协调中心 TWCERTCC-200-202507-00000006

【CVE-2025-42967，CVSS：9.9】 此漏洞存在于SAP S/4HANA 和 SAP SCM Characteristic Propagation，允许具有使用者权限的攻击者利用程式码建立文件，可能完全控制受影响的SAP系统。

【CVE-2025-42980，CVSS：9.1】 该漏洞存在于SAP NetWeaver Enterprise Portal Federated Portal Network，允许特权使用者上传不受信任或恶意内容，这些内容反序列化后可能导致主机系统受损害。

【CVE-2025-42964，CVSS：9.1】 该漏洞存在于SAP NetWeaver Enterprise Portal Administration，允许特权使用者上传不受信任或恶意内容，这些内容反序列化后可能导致主机系统受损害。

【CVE-2025-42966，CVSS：9.1】 SAP NetWeaver XML Data Archiving服务存在Java反序列化漏洞，允许经过验证且拥有管理者权限的攻击者，利用精心设计的序列化Java物件影响应用程式的机密性、完整性及可用性。

【CVE-2025-42963，CVSS：9.1】 SAP NetWeaver Application server的Java Log存在Java反序列化漏洞，允许经过验证且拥有管理者权限的攻击者，可完全控制受影响的系统，严重影响应用程式和主机环境的机密性、完整性及可用性。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

烦请贵单位协助转发与通知辖下各单位知悉

● SCMAPO 713,714
● S4CORE 102,103,104
● S4COREOP 105,106,107,108
● SCM 700,701,702,712
● EP-RUNTIME 7.50
● J2EE-APPS 7.50
● LMNWABASICAPPS 7.50

根据官方网站释出的解决方式进行修补：https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2025.html