一、 漏洞 CVE-2025-42959 基础信息
漏洞信息
# 实施SAP安全公告3007182和3537476之后缺失验证检查
## 漏洞概述
未认证的攻击者可能利用从缺少特定安全补丁的系统中提取的带哈希的消息认证码(HMAC)凭证,在重放攻击中重新使用该凭证针对不同的系统。即使目标系统已完全打上补丁,成功的利用可能导致系统的完全妥协,影响系统的机密性、完整性和可用性。
## 影响版本
无特定版本信息
## 细节
攻击者可以通过从一个缺少关键安全补丁的系统中获得HMAC凭证,并在重放攻击中重复使用该凭证攻击其他系统。尽管目标系统已经打了所有安全补丁,但由于凭证被重用,该攻击仍然有可能成功。
## 影响
该漏洞可能导致系统的完全妥协,从而影响系统的机密性、完整性和可用性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Missing Authentication check after implementation of SAP Security Note 3007182 and 3537476
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An unauthenticated attacker may exploit a scenario where a Hashed Message Authentication Code (HMAC) credential, extracted from a system missing specific security patches, is reused in a replay attack against a different system. Even if the target system is fully patched, successful exploitation could result in complete system compromise, affecting confidentiality, integrity, and availability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
使用单一因素认证机制
来源:美国国家漏洞数据库 NVD
漏洞标题
SAP NetWeaver ABAP Server和SAP ABAP Platform 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SAP NetWeaver ABAP Server和SAP ABAP Platform都是德国思爱普(SAP)公司的产品。SAP NetWeaver ABAP Server是一个用作 SAP 产品的 Web 应用程序服务器。SAP ABAP Platform是一个基于 ABAP 的 SAP 解决方案。 SAP NetWeaver ABAP Server和SAP ABAP Platform存在安全漏洞,该漏洞源于未验证攻击者可利用从缺失特定补丁的系统提取的HMAC凭据进行重放攻击,可能导致完全系统破解。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-42959 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
