一、 漏洞 CVE-2025-42933 基础信息
漏洞信息
# SAP Business One SLD敏感信息存储漏洞
## 概述
在使用 SAP Business One 原生客户端登录时,SLD 后端服务未正确加密某些 API,导致敏感凭据在 HTTP 响应体中被暴露。
## 影响版本
未明确指出具体版本,但问题出现在使用 SAP Business One 原生客户端登录的过程中。
## 细节
- 登录过程中,部分 API 未采用合适的加密机制;
- Sensitive credentials(如用户名、密码等)被直接暴露在 HTTP 响应体中;
- 这使得攻击者可在中间人攻击(MITM)中获取用户凭据。
## 影响
- **机密性**(Confidentiality):用户凭据可被窃取;
- **完整性**(Integrity):攻击者可冒充合法用户进行操作;
- **可用性**(Availability):可能被用于进一步的系统入侵,影响服务稳定与安全。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Insecure Storage of Sensitive Information in SAP Business One (SLD)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
When a user logs in via SAP Business One native client, the SLD backend service fails to enforce proper encryption of certain APIs. This leads to exposure of sensitive credentials within http response body. As a result, it has a high impact on the confidentiality, integrity, and availability of the application.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
不充分的凭证保护机制
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-42933 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-42933 的情报信息
四、漏洞 CVE-2025-42933 的评论
暂无评论