SAP phát hành bản vá cho các lỗ hổng bảo mật nghiêm trọng trong NetWeaver
Vừa qua, đội ngũ chuyên gia bảo mật của SAP đã phát hành bản vá bảo mật cho hàng loạt các lỗ hổng bảo mật nghiêm trọng đang tồn tại trong các sản phẩm của hãng, trong đó bao gồm lỗ hổng bảo mật nghiêm trọng CVE-2025-31324 với số điểm 10.0 theo thang điểm CVSS (3.1) đã được công bố rộng rãi từ trước đó.
Trong quá trình phân tích CVE-2025-31324, các nhà nghiên cứu bảo mật đã phát hiện ra hàng loạt các lỗ hổng bảo mật mới, được sinh ra trong quá trình phân tích trên. Một trong số đó là CVE-2025-42999, cụ thể:
Định danh lỗ hổng:
CVE-2025-42999- Insecure Deserialization in SAP NetWeaver (Visual Composer development server)Điểm CVSS (3.1): 9.1
Mức độ nghiêm trọng: Critical
Mô tả: Người dùng hợp lệ (privileged user) có thể sử dụng SAP NetWeaver Visual Composer Metadata Uploader để tải lên các nội dung không tin cậy (untrusted content) hoặc các nội dung độc hại (malicious content) gây ảnh hưởng tới tính bảo mật, toàn vẹn và sẵn sàng của hệ thống. Ngoài ra, lỗ hổng này có thể dẫn tới khả năng cho phép các hành vi độc hại khác như thực thi mã từ xa trên hệ thống.
Sản phẩm bị ảnh hưởng: VCFRAMEWORK 7.50
Thông báo cập nhật bản vá bảo mật tháng 05/2025 của SAP
Ngoài ra các lỗ hổng bảo mật được gắn nhãn nghiêm trọng Critical, trong thông báo cập nhật bản vá bảo mật của mình, một số các lỗ hổng bảo mật đáng lưu ý được gắn nhãn High, Medium cũng được phía hãng công bố. Một số lỗ hổng mức độ nghiêm trọng cao (High) cần lưu ý như:
CVE-2025-30018– Multiple Vulnerabilities in SAP SRM Live Auction Cockpit:
Được chấm 8.6 theo thang điểm CVSS (3.1), CVE-2025-30018 là tập hợp 05 lỗ hổng có khả năng ảnh hưởng tới thành phần Live Auction Cockpit của SAP SRM gồm: Blind XXE, Reflected XSS, Open Redirect, Information Disclosure và Insecure Deserialization. Nguyên nhân sinh ra lỗi nằm ở thành phần applet Java đã hết hạn. Kẻ tấn công có thể tận dụng các applet Java này để khai thác những lỗ hổng trên mà không cần xác thực. Hãng SAP khuyến nghị người dùng đang sử dụng SRM 7.14 nên vô hiệu hoá thành phần Java applet và làm theo hướng dẫn của SAP Note để khắc phục lỗ hổng này.
CVE-2025-43010– Code Injection in SAP S/4HANA SCM Master Data Layer
Có số điểm 8.3 trên thang đo CVSS (3.1), lỗ hổng này cho phép người dùng với đặc quyền thấp (low-privileged user) chèn các mã ABAP có thể bị sửa đổi gây gián đoạn hoạt động của các tiến trình trên hệ thống. Hãng SAP cho biết, CVE-2025-43010 tác động lên nhiều phiên bản private cloud và on-premise cloud sử dụng S4CORE và SCM_BASIS.
CVE-2025-43000– Information Disclosure Vulnerability in SAP Business Objects Business Intelligence Platform (PMW)
Lỗ hổng tồn tại trong trình quản lý Promotion Management Wizard (PMW), cho phép kẻ tấn công truy cập vào các tệp bị hạn chế. Với số điểm 7.9 trên thang đo CVSS (3.1), phía SAP khuyến nghị người dùng nên cô lập các cài đặt của PMW và cập nhật bản vá cho tất cả các máy chủ có liên quan. Các hệ thống bị ảnh hưởng bao gồm SAP BusinessObjects Enterprise phiên bản 430, 2025 và 2027.
Khuyến nghị
Trong bối cảnh lỗ hổng cực kỳ nghiêm trọng CVE-2025-31324 vẫn đang bị tin tặc tích cực khai thác trên thực tế, SAP khuyến nghị người dùng nên thực hiện cập nhật các bản vá bảo mật cho các sản phẩm tới từ hãng, đồng thời cập nhật các tin tức mới nhất về bảo mật thông tin nhằm tránh đối diện với các nguy cơ có thể xảy ra trong tương lai.
