一、 漏洞 CVE-2025-42967 基础信息
漏洞信息
# 在SAP S/4HANA和SAP SCM(特征传播)中的代码注入漏洞
## 漏洞概述
SAP S/4HANA 和 SAP SCM 中的特性传播功能存在远程代码执行漏洞。这使得具有用户级别权限的攻击者能够创建包含其自定义代码的新报告,可能完全控制受影响的 SAP 系统,从而对应用程序的机密性、完整性和可用性产生严重影响。
## 影响版本
- SAP S/4HANA
- SAP SCM
## 漏洞细节
攻击者可以通过创建包含恶意代码的新报告来利用此漏洞。由于这些活动仅需用户级别权限,因此可能快速传播并导致系统被完全控制。
## 影响
此漏洞可能带来高影响,导致应用程序的机密性、完整性和可用性受损。攻击者可能完全控制受影响的 SAP 系统,从而对系统数据进行未经授权的访问、修改或删除。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Code Injection vulnerability in SAP S/4HANA and SAP SCM (Characteristic Propagation)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SAP S/4HANA and SAP SCM Characteristic Propagation has remote code execution vulnerability. This allows an attacker with user level privileges to create a new report with his own code potentially gaining full control of the affected SAP system causing high impact on confidentiality, integrity, and availability of the application.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
SAP S/4HANA 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SAP S/4HANA是德国思爱普(SAP)公司的一个基于 SAP HANA 内存数据库系统的的企业资源管理软件。 SAP S/4HANA存在安全漏洞,该漏洞源于远程代码执行,可能导致完全控制系统。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-42967 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
