Обновление безопасности SAP: исправлены 19 уязвимостей в нескольких продуктах
В современном мире информационных технологий кибербезопасность приобретает все большее значение. Компания SAP выпустила февральское обновление безопасности 2025 года, направленное на устранение 19 новых уязвимостей, обнаруженных в ее продуктах.
В этом обновлении устранены критические проблемы безопасности в таких платформах, как SAP NetWeaver, SAP BusinessObjects, SAP Commerce и другие. Среди исправленных уязвимостей – межсайтовый скриптинг (XSS), обход аутентификации и ошибки авторизации. SAP настоятельно рекомендует пользователям как можно скорее установить эти обновления, поскольку злоумышленники могут использовать обнаруженные уязвимости для различных атак.
Среди исправленных уязвимостей SAP выделяются несколько особо критических. Рассмотрим их подробнее:
Межсайтовый скриптинг (XSS) в SAP NetWeaver AS Java (CVE-2024-22126)
В версии 7.50 SAP NetWeaver AS Java (User Admin Application) была обнаружена критическая уязвимость CVE-2024-22126. Эта уязвимость типа XSS (Cross-Site Scripting), имеющая балл 8.8 по системе CVSS, позволяет злоумышленникам внедрять вредоносные скрипты в веб-приложения, что может привести к краже пользовательских данных и компрометации системы. Уязвимость требует немедленного исправления.
Неправильная авторизация в SAP BusinessObjects BI Platform (CVE-2025-0064)
В центральной консоли управления (Central Management Console) платформы SAP BusinessObjects BI Platform была обнаружена уязвимость CVE-2025-0064. Она затрагивает версии ENTERPRISE 430 и 2025 и имеет оценку 8.7 по CVSS. Ошибка связана с неправильной авторизацией, что позволяет злоумышленникам получить несанкционированный доступ к конфиденциальной информации.
Path Traversal в SAP Supplier Relationship Management (CVE-2025-25243)
Уязвимость CVE-2025-25243 была выявлена в каталоге управления мастер-данными (Master Data Management Catalog) SAP Supplier Relationship Management версии SRM_MDM_CAT 7.52. Она имеет оценку 8.6 по CVSS и позволяет злоумышленникам манипулировать файловыми путями, что может привести к несанкционированному доступу или повреждению данных.
Обход аутентификации в SAP Approuter (CVE-2025-24876)
Критическая уязвимость CVE-2025-24876 затрагивает библиотеку SAP Approuter, версии с 2.6.1 по 16.7.1. Эта уязвимость, получившая 8.1 балла по CVSS, позволяет злоумышленникам обходить механизмы аутентификации путем внедрения вредоносных кодов авторизации, что ставит под угрозу безопасность приложения.
Множественные уязвимости в SAP Enterprise Project Connection (CVE-2024-38819)
В версии 3.0 SAP Enterprise Project Connection было выявлено сразу несколько уязвимостей, объединенных под идентификатором CVE-2024-38819. Их оценка по CVSS составляет 7.5 балла. Эти проблемы могут повлиять как на доступность системы, так и на конфиденциальность данных.
Уязвимости средней и низкой степени опасности
Помимо вышеуказанных критических уязвимостей, SAP устранила также ряд средних и низкоопасных проблем:
- Open Redirect в SAP HANA extended application services (CVE-2025-24868) – CVSS: 7.1
- Недостаточная защита от Clickjacking в SAP Commerce Backoffice (CVE-2025-24874) – CVSS: 6.8
- Разглашение информации в SAP NetWeaver Application Server ABAP (CVE-2025-23193) – CVSS: 5.3
- Cache Poisoning в SAP Fiori for ERP (CVE-2025-23191) – CVSS: 3.1
Рекомендации по защите
SAP рекомендует пользователям принять следующие меры для защиты своих систем:
✅ Немедленное обновление ПО – Установите последние обновления безопасности SAP, чтобы закрыть уязвимости.
✅ Усиленный мониторинг – Внедрите системы отслеживания подозрительной активности в продуктах SAP.
✅ Регулярные проверки безопасности – Проводите аудит систем для выявления потенциальных угроз.
✅ Обучение сотрудников и администраторов – Повышайте осведомленность о фишинговых атаках и вредоносных ссылках.
SAP выпускает обновления безопасности каждый месяц для повышения уровня защиты своих продуктов. Февральское обновление 2025 года включает важные исправления, предотвращающие потенциальные атаки злоумышленников и защищающие данные пользователей.
Компаниям и организациям необходимо как можно скорее установить эти исправления, а также проводить регулярные проверки безопасности своих систем. В противном случае уязвимые системы могут стать легкой добычей для киберпреступников. В современном мире информационной безопасности бдительность и своевременные обновления должны стать приоритетом для любой организации.
