一、 漏洞 CVE-2025-42965 基础信息
漏洞信息
# SAP BusinessObjects BI 平台中央管理控制台提升管理应用中的服务器端请求伪造漏洞(SSRF)
## 漏洞概述
SAP CMC Promotion Management 允许经过身份验证的攻击者通过提交经过特殊设计的请求来枚举内部网络系统。攻击者可以通过分析对不同IP地址和端口的响应时间来推断有效的网络端点。成功的利用可能导致信息泄露。
## 影响版本
未指定具体版本。
## 细节
通过在工作源配置期间提交特殊设计的请求,经过身份验证的攻击者可以枚举内部网络系统。攻击者利用对不同IP地址和端口的响应时间差异来推断有效的网络端点,进而导致信息泄露。
## 影响
成功的利用可能导致信息泄露,但不会影响应用的完整性和可用性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Server Side Request Forgery(SSRF) vulnerability in SAP BusinessObjects BI Platform Central Management Console Promotion Management Application
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SAP CMC Promotion Management allows an authenticated attacker to enumerate internal network systems by submitting crafted requests during job source configuration. By analysing response times for various IP addresses and ports, the attacker can infer valid network endpoints. Successful exploitation may lead to information disclosure. This vulnerability does not impact the integrity or availability of the application.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
SAP CMC Promotion Management 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SAP CMC Promotion Management是德国思爱普(SAP)公司的一款用于管理和迁移内容的软件。 SAP CMC Promotion Management存在代码问题漏洞,该漏洞源于已验证攻击者可枚举内部网络系统,可能导致信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-42965 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
