Critical SAP Flaws Revealed: CVE-2025-0070 and CVE-2025-0066 with CVSS 9.9 Demand Immediate Action
2025/01/14 SecurityOnline — SAP が公開したのは、2025年1月の Security Patch Day の一環として修正された、14件の新たな脆弱性に関する情報である。このリリースで対処された脆弱性は、NetWeaver/BusinessObjects/SAP GUI プラットフォームなどの、SAP のコア・システムに影響を及ぼすものだ。14件の脆弱性のうち、SAP NetWeaver AS for ABAP および ABAP プラットフォームに影響を及ぼす2件の脆弱性 (CVE-2025-0070/CVE-2025-0066) は、深刻度 Critical と評価されている。
CVE-2025-0070 (CVSS 9.9):不適切な認証の脆弱性
この脆弱性の悪用に成功した、認証済みの攻撃者は、システムへの不正アクセスの可能性を手にする。その結果として、特権の昇格などの、潜在的なセキュリティ上の懸念につながる恐れがある。
CVE-2025-0066 (CVSS 9.9):機密情報に対する不正確なパーミッション割当の脆弱性
この脆弱性を悪用する攻撃者は、制限付きの情報へのアクセスを達成し、アプリケーションの機密性/完全性/可用性に重大な影響を及ぼす可能性を手にする。
パッチ・リリースで対処された、その他の脆弱性の深刻度は、High 3件/Medium 8件/Low 1件となっている。深刻度 High の脆弱性は以下の通りである:
- CVE-2025-0063 (CVSS 8.8):SAP NetWeaver AS for ABAP および ABAP Platform における SQL インジェクション脆弱性
- CVE-2025-0061 (CVSS 8.7):SAP BusinessObjects Business Intelligence Platform に存在し、未認証の攻撃者に対してセッション・ハイジャックを許す脆弱性
- CVE-2025-0069 (CVSS 7.8):SAPSetup における DLL ハイジャックの脆弱性
顧客に対して SAP が推奨するのは、可能な限り早急にパッチを適用し、潜在的な攻撃からシステムを保護することだ。脆弱性とパッチに関する詳細な情報は、SAP の Security Notes で確認できる。
SAP の 14件の脆弱性が修正されました。この記事で紹介されているのは、そのうちの5件であり、深刻度が高いとされているものです。ご利用のチームは、ご注意ください。よろしければ、SAP で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.