Predictable Object Identifier vulnerability in SAP NetWeaver AS Java (IIOP Service) 漏洞信息(CVE-2025-42925)

一、漏洞 CVE-2025-42925 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # SAP NetWeaver AS Java IIOP 信息泄露漏洞

## 概述

SAP NetWeaver AS JAVA IIOP服务中存在一个漏洞，由于在分配对象标识符（Object Identifiers）时缺乏随机性，导致标识符可被预测。

## 影响版本

未明确具体版本，但涉及SAP NetWeaver AS JAVA的IIOP服务。

## 细节

攻击者在拥有低权限且已通过身份认证的情况下，可通过暴力搜索预测对象标识符。通过获取多个在相近时间生成的标识符，攻击者可推算出目标标识符。

## 影响

该漏洞使攻击者可访问有限的系统信息，对机密性构成**低风险**威胁，不影响系统的完整性或可用性。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Predictable Object Identifier vulnerability in SAP NetWeaver AS Java (IIOP Service)

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Due to the lack of randomness in assigning Object Identifiers in the SAP NetWeaver AS JAVA IIOP service, an authenticated attacker with low privileges could predict the identifiers by conducting a brute force search. By leveraging knowledge of several identifiers generated close to the same time, the attacker could determine a desired identifier which could enable them to access limited system information. This poses a low risk to confidentiality without impacting the integrity or availability of the service.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

从可观察状态的可预测

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-42925 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-42925 的情报信息

https://me.sap.com/notes/3640477
标题： Access Denied -- 🔗来源链接

标签：
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-42925

四、漏洞 CVE-2025-42925 的评论

暂无评论

一、 漏洞 CVE-2025-42925 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-42925 的公开POC

三、漏洞 CVE-2025-42925 的情报信息

四、漏洞 CVE-2025-42925 的评论

发表评论

一、漏洞 CVE-2025-42925 基础信息