SAP NetWeaver の脆弱性 CVE-2025-42922 が FIX:認証済み攻撃者による任意のコード実行

Critical SAP NetWeaver Flaw Allows Attackers to Execute Arbitrary Code

2025/09/10 gbhackers — SAP が公表したのは、NetWeaver AS Java Deploy Service の Deploy Web Service コンポーネントで発見された、深刻な脆弱性 CVE-2025-42922 に関する情報である。この脆弱性を悪用する認証済み攻撃者は、任意のコード実行により、システム全体を侵害する可能性があるため、SAP 環境を運用する組織に深刻なリスクが生じている。

脆弱性の詳細と攻撃ベクター

Redrays の報告によると、この脆弱性は Deploy Web Service における、安全でないファイル・アップロード機構と、アクセス制御の不備に起因する。

この問題のコアは、ロールベース・アクセス制御 (RBAC:role-based access control) が適用されず、ファイル・タイプ検証が行われない状況で、”multipart/form-data” リクエストが処理される点にある。そのため、低権限の認証済みユーザーであっても、制限を回避しながら、悪意のファイルをシステムにアップロードできる。

CVE NumberAffected ProductImpact AssessmentCVSS 3.1 Score
CVE-2025-42922SAP NetWeaver AS Java Deploy ServiceCritical – Arbitrary code execution and full system compromiseNot specified – Critical severity

この攻撃シナリオは、クレデンシャル・スタッフィング/ソーシャル・エンジニアリング/他の脆弱性の悪用などにより、脅威アクターが低権限の認証情報を入手するところから始まる。そのような手口で認証を得た攻撃者は、JSP/WAR/EAR ファイルなどで構成される、悪意のマルチ・パート・リクエストを作成できる。

そのような悪意のリクエストを、Deploy Web Service が適切に検証せずに受け入れ、実行可能な場所に保存する。続いて攻撃者が、アップロードされた悪意のファイルを実行するとリモート・コード実行が成立し、権限昇格や機密データ窃取に加えて、ネットワーク内でのラテラル・ムーブメントなどの可能性が生じる。

対応策

SAP NetWeaver AS Java を利用する組織は、SAP Security Note 3643865 で提供されるパッチを、速やかに適用すべきである。なお、このパッチの適用前に、SAP Note 1974464 に基づく依存関係の分析を行い、互換性を確保する必要がある。また、迅速なパッチ適用が困難な場合には、KBA 3646072 に提示される一時的な回避策の利用も可能だ。

それに加えて、ユーザー組織に対して推奨されるのは、Deploy Web Service へのアクセスを管理ユーザーに限定し、デプロイメント・エンドポイントへの疑わしい POST リクエストを監視する、包括的な監査ログを実装することだ。

セキュリティ・チームにとって必要なことは、管理者以外からの DeployWS エンドポイントへの HTTP POST リクエスト/実行ファイルを取り込んだ multipart/form-data 送信/ファイル・デプロイ後の異常な URL アクセス/深夜などの不審な時間帯におけるデプロイ活動といった IOC の監視である。さらに、過去のアクセス・ログを精査し、悪用の試みの有無を確認する必要がある。

推奨される検知フィルターとして挙げられるのは、DeployWS を取り込んだパスに対する “multipart/form-data コンテンツ・タイプ”により、管理者以外のユーザーが POST リクエストを送信していないことを確認するものだ。

今回の脆弱性の発見が示すのは、システム・レベルのアクセス経路となり得るデプロイメント・サービスを扱うエンタープライズ・アプリケーションにおいて、堅牢なアクセス制御とファイル検証メカニズムを維持することの重要性である。

SAP NetWeaver AS Java の Deploy Web Service に、安全でないファイル・アップロードと、アクセス制御の不備の脆弱性が発見されました。問題となるのは、ロールベースのアクセス制御が適用されず、さらにアップロードされるファイルの種類を検証しない仕組みにあります。そのため、低権限のユーザーであっても、悪意のファイルをシステムに保存して実行できてしまうと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、SAP NetWeaver で検索も、ご参照ください。