摘要：专家警告称， SAP S/4HANA 软件中存在一个被积极利用的漏洞，该漏洞编号为CVE-2025-42957 （CVSS 评分：9.9）。

专家警告称， SAP S/4HANA 软件中存在一个被积极利用的漏洞，该漏洞编号为CVE-2025-42957 （CVSS 评分：9.9）。

攻击者可以利用此漏洞完全破坏 SAP 系统、更改数据库、创建超级用户帐户并窃取密码哈希。

安全公告指出： “SAP S/4HANA 允许拥有用户权限的攻击者利用通过 RFC 公开的功能模块中的漏洞。该漏洞允许将任意 ABAP 代码注入系统，从而绕过必要的授权检查。该漏洞实际上充当了后门，存在整个系统被入侵的风险，破坏了系统的机密性、完整性和可用性。”

SAP S/4HANA ERP 是 SAP 的企业资源规划 (ERP) 套件，旨在帮助大中型组织管理财务、供应链、制造、销售、采购和人力资源等核心业务流程。

该漏洞影响所有 SAP S/4HANA 版本（私有云和本地），并且可以从低权限帐户利用该漏洞完全破坏系统。

供应商于 2025 年 8 月 11 日解决了该漏洞。

SecurityBridge 威胁研究实验室发现并确认该漏洞正在野外活跃，建议管理员立即解决该漏洞。

SecurityBridge 称： “只需极少的努力就能彻底攻陷系统，成功利用此漏洞很容易导致欺诈、数据盗窃、间谍活动或勒索软件安装。”

SecurityBridge 专家警告称，未打补丁的 SAP 系统已暴露，通过对 ABAP 补丁进行逆向工程，可以轻松利用漏洞。

SecurityBridge 总结道：“攻击者只需要 SAP 系统上的低级凭证（任何具有调用易受攻击的 RFC 模块权限的有效用户帐户以及具有活动 02 的特定 S_DMIS 授权），并且无需用户交互。”

攻击复杂度较低，且可通过网络执行，因此其 CVSS 评分高达 9.9。

恶意内部人员或已获得基本用户访问权限（例如通过网络钓鱼）的攻击者可以利用此漏洞，逐步升级至对 SAP 环境的完全控制。

SecurityBridge 漏洞公告：

来源：会杀毒的单反狗