Η SAP διορθώνει κρίσιμα ελαττώματα απομακρυσμένης εκτέλεσης κώδικα
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η SAP διορθώνει κρίσιμα ελαττώματα απομακρυσμένης εκτέλεσης κώδικα
https://www.secnews.gr/653283/sap-diorthonei-krisima-elattomata-apomakrismenis-ektelesis-kodika/
Jul 8th 2025, 18:21
by Absenta Mia
Η εταιρεία λογισμικού επιχειρήσεων SAP ανακοίνωσε την Τρίτη την κυκλοφορία 27 νέων και 4 ενημερωμένων δελτίων ασφαλείας, στο πλαίσιο της Ημέρας Ενημερώσεων Ασφαλείας για τον Ιούλιο 2025, μεταξύ των οποίων έξι που αντιμετωπίζουν κρίσιμα ελαττώματα.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Στην κορυφή της λίστας βρίσκεται μια ενημέρωση για δελτίο που είχε εκδοθεί τον Μάιο και αφορά πέντε ελαττώματα ασφαλείας στο σύστημα Διαχείρισης Σχέσεων Προμηθευτών (SRM).
Αρχικά, η SAP είχε χαρακτηρίσει το συγκεκριμένο δελτίο ως υψηλής προτεραιότητας, βάσει της βαθμολογίας σοβαρότητας του σημαντικότερου σφάλματος. Ωστόσο, αναθεώρησε την κατάταξη σε «κρίσιμη», αφού διαπιστώθηκε ότι ο αντίκτυπος ενός από τα ζητήματα είναι πολύ μεγαλύτερος από ό,τι είχε αρχικά εκτιμηθεί.
Η βαθμολογία CVSS για το σφάλμα, με αναγνωριστικό CVE-2025-30012, αυξήθηκε από 3.9 σε 10/10, καθώς διαπιστώθηκε ότι μπορεί να αξιοποιηθεί από μη αυθεντικοποιημένους επιτιθέμενους για την εκτέλεση αυθαίρετων εντολών λειτουργικού συστήματος με δικαιώματα διαχειριστή.
Το πρόβλημα προκύπτει επειδή το στοιχείο Live Auction Cockpit του συστήματος SRM χρησιμοποιεί έναν παρωχημένο Java applet, ο οποίος μπορεί να αποκωδικοποιεί ειδικά κατασκευασμένα κακόβουλα αιτήματα, οδηγώντας σε μη ασφαλή αποσειριοποίηση δεδομένων και εκτέλεση εντολών.
Δείτε ακόμα: Cisco: Κρίσιμες ευπάθειες στο Cisco Identity Services Engine (ISE)
Το δεύτερο δελτίο στο ενημερωτικό δελτίο ασφαλείας της SAP για τον Ιούλιο 2025 αφορά το ελάττωμα CVE-2025-42967 (βαθμολογία CVSS 9.9), το οποίο επιτρέπει απομακρυσμένη εκτέλεση κώδικα στα συστήματα S/4HANA και SCM.
Ένας επιτιθέμενος με δικαιώματα χρήστη μπορεί να εκμεταλλευτεί την ευπάθεια δημιουργώντας μια νέα αναφορά που περιέχει δικό του κώδικα, κάτι που μπορεί να του επιτρέψει να αποκτήσει πλήρη έλεγχο ενός ευάλωτου συστήματος SAP.
Το νέο πακέτο δελτίων ασφαλείας της SAP περιλαμβάνει επίσης την επιδιόρθωση τεσσάρων κρίσιμης σοβαρότητας ευπαθειών αποσειριοποίησης σε διάφορα υποσυστήματα της πλατφόρμας NetWeaver.
Αυτή την εβδομάδα διορθώθηκαν επίσης τέσσερα προβλήματα υψηλής σοβαρότητας στα συστήματα NetWeaver, Business Objects και Business Warehouse, ενώ ενημερώθηκε και ένα δελτίο υψηλής προτεραιότητας που είχε εκδοθεί τον προηγούμενο μήνα και αφορούσε ευπάθεια directory traversal στο στοιχείο Visual Composer του NetWeaver.
Δείτε επίσης: Η Cisco προειδοποιεί για ελαττώματα ISE και CCP
Συνιστάται στους χρήστες της SAP να προχωρήσουν σε άμεση ενημέρωση των εγκαταστάσεών τους. Αν και η εταιρεία δεν αναφέρει περιπτώσεις εκμετάλλευσης των συγκεκριμένων ευπαθειών, είναι γνωστό ότι κακόβουλοι παράγοντες έχουν στοχεύσει παλαιότερα ευπάθειες της SAP για να παραβιάσουν επιχειρησιακά περιβάλλοντα.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η SAP διορθώνει κρίσιμα ελαττώματα απομακρυσμένης εκτέλεσης κώδικα
https://www.secnews.gr/653283/sap-diorthonei-krisima-elattomata-apomakrismenis-ektelesis-kodika/
Jul 8th 2025, 18:21
by Absenta Mia
Η εταιρεία λογισμικού επιχειρήσεων SAP ανακοίνωσε την Τρίτη την κυκλοφορία 27 νέων και 4 ενημερωμένων δελτίων ασφαλείας, στο πλαίσιο της Ημέρας Ενημερώσεων Ασφαλείας για τον Ιούλιο 2025, μεταξύ των οποίων έξι που αντιμετωπίζουν κρίσιμα ελαττώματα.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Στην κορυφή της λίστας βρίσκεται μια ενημέρωση για δελτίο που είχε εκδοθεί τον Μάιο και αφορά πέντε ελαττώματα ασφαλείας στο σύστημα Διαχείρισης Σχέσεων Προμηθευτών (SRM).
Αρχικά, η SAP είχε χαρακτηρίσει το συγκεκριμένο δελτίο ως υψηλής προτεραιότητας, βάσει της βαθμολογίας σοβαρότητας του σημαντικότερου σφάλματος. Ωστόσο, αναθεώρησε την κατάταξη σε «κρίσιμη», αφού διαπιστώθηκε ότι ο αντίκτυπος ενός από τα ζητήματα είναι πολύ μεγαλύτερος από ό,τι είχε αρχικά εκτιμηθεί.
Η βαθμολογία CVSS για το σφάλμα, με αναγνωριστικό CVE-2025-30012, αυξήθηκε από 3.9 σε 10/10, καθώς διαπιστώθηκε ότι μπορεί να αξιοποιηθεί από μη αυθεντικοποιημένους επιτιθέμενους για την εκτέλεση αυθαίρετων εντολών λειτουργικού συστήματος με δικαιώματα διαχειριστή.
Το πρόβλημα προκύπτει επειδή το στοιχείο Live Auction Cockpit του συστήματος SRM χρησιμοποιεί έναν παρωχημένο Java applet, ο οποίος μπορεί να αποκωδικοποιεί ειδικά κατασκευασμένα κακόβουλα αιτήματα, οδηγώντας σε μη ασφαλή αποσειριοποίηση δεδομένων και εκτέλεση εντολών.
Δείτε ακόμα: Cisco: Κρίσιμες ευπάθειες στο Cisco Identity Services Engine (ISE)
Το δεύτερο δελτίο στο ενημερωτικό δελτίο ασφαλείας της SAP για τον Ιούλιο 2025 αφορά το ελάττωμα CVE-2025-42967 (βαθμολογία CVSS 9.9), το οποίο επιτρέπει απομακρυσμένη εκτέλεση κώδικα στα συστήματα S/4HANA και SCM.
Ένας επιτιθέμενος με δικαιώματα χρήστη μπορεί να εκμεταλλευτεί την ευπάθεια δημιουργώντας μια νέα αναφορά που περιέχει δικό του κώδικα, κάτι που μπορεί να του επιτρέψει να αποκτήσει πλήρη έλεγχο ενός ευάλωτου συστήματος SAP.
Το νέο πακέτο δελτίων ασφαλείας της SAP περιλαμβάνει επίσης την επιδιόρθωση τεσσάρων κρίσιμης σοβαρότητας ευπαθειών αποσειριοποίησης σε διάφορα υποσυστήματα της πλατφόρμας NetWeaver.
Αυτή την εβδομάδα διορθώθηκαν επίσης τέσσερα προβλήματα υψηλής σοβαρότητας στα συστήματα NetWeaver, Business Objects και Business Warehouse, ενώ ενημερώθηκε και ένα δελτίο υψηλής προτεραιότητας που είχε εκδοθεί τον προηγούμενο μήνα και αφορούσε ευπάθεια directory traversal στο στοιχείο Visual Composer του NetWeaver.
Δείτε επίσης: Η Cisco προειδοποιεί για ελαττώματα ISE και CCP
Συνιστάται στους χρήστες της SAP να προχωρήσουν σε άμεση ενημέρωση των εγκαταστάσεών τους. Αν και η εταιρεία δεν αναφέρει περιπτώσεις εκμετάλλευσης των συγκεκριμένων ευπαθειών, είναι γνωστό ότι κακόβουλοι παράγοντες έχουν στοχεύσει παλαιότερα ευπάθειες της SAP για να παραβιάσουν επιχειρησιακά περιβάλλοντα.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz