一、 漏洞 CVE-2025-42978 基础信息
漏洞信息
# SAP NetWeaver Application Server Java中出站TLS连接的主机名验证不充分
## 漏洞概述
SAP NetWeaver Application Server Java 中用于建立出站TLS连接的组件未能可靠地将连接使用的主机名与接收到的远程TLS服务器证书中定义的通配符主机名进行匹配。这可能导致出站连接建立到潜在的恶意远程TLS服务器,从而导致信息泄露。
## 影响版本
未具体指定受影响的版本。
## 漏洞细节
SAP NetWeaver Application Server Java 中的一个组件在建立出站TLS连接时,没有可靠地验证连接使用的主机名是否与远程TLS服务器证书中的通配符主机名匹配。因此,连接可能被错误地引导到恶意的TLS服务器,导致敏感信息泄露。
## 漏洞影响
- **信息泄露**:可能泄露敏感信息。
- **完整性和可用性**:不受影响。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Insufficiently Secure Hostname Verification for Outbound TLS Connections in SAP NetWeaver Application Server Java
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The widely used component that establishes outbound TLS connections in SAP NetWeaver Application Server Java does not reliably match the hostname that is used for the connection against the wildcard hostname defined in the received certificate of remote TLS server. This might lead to the outbound connection being established to a possibly malicious remote TLS server and hence disclose information. Integrity and Availability are not impacted.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通信信道源的不正确验证
来源:美国国家漏洞数据库 NVD
漏洞标题
SAP NetWeaver Application Server Java 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SAP NetWeaver Application Server Java是德国思爱普(SAP)公司的一款提供了Java运行环境的应用程序服务器。该产品主要用于开发和运行Java EE应用程序。 SAP NetWeaver Application Server Java存在安全漏洞,该漏洞源于TLS连接主机名匹配不可靠,可能导致信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-42978 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
