SAP fixes critical vulnerabilities in NetWeaver application servers

SAPは、NetWeaverウェブ・アプリケーション・サーバーに影響し、特権の昇格や制限された情報へのアクセスに悪用される可能性のある2つの重大な脆弱性を修正した。

また、1月のセキュリティパッチデーの一環として、SAPは他の製品にもアップデートをリリースし、深刻度が中程度と高程度と評価された12件の問題を修正した。

「SAPは、顧客がサポートポータルにアクセスし、SAPの環境を保護するために優先的にパッチを適用することを強く推奨する」と、同社のセキュリティ速報は述べている。

今月SAPが対処した最も深刻な4つのセキュリティ問題の概要は以下の通り:

  • CVE-2025-0070重大度:クリティカル、スコア:9.9):SAP NetWeaver Application Server for ABAP および ABAP Platform の不適切な認証により、認証済みの攻撃者が不適切な認証チェックを悪用し、権限の昇格を引き起こし、機密性、完全性、可用性に重大な影響を与えます。
  • CVE-2025-0066重大度:クリティカル、スコア:9.9 SAP NetWeaver AS for ABAP および ABAP Platform (Internet Communication Framework) に情報漏えいの脆弱性があり、アクセス制御が脆弱なため、攻撃者が制限された情報にアクセス可能となり、機密性、完全性、可用性に重大な影響を及ぼします。
  • CVE-2025-0063深刻度高、スコア 8.8:SAP NetWeaver AS ABAP および ABAP Platform における SQL インジェクションの脆弱性は、特定の RFC 関数モジュールに対する権限チェックの欠如に起因します。これにより、基本的な権限を持つ攻撃者が Informix データベースを侵害し、機密性、完全性、可用性を完全に失う可能性があります。
  • CVE-2025-0061深刻度高、スコア 8.7:SAP BusinessObjects Business Intelligence Platform に複数の脆弱性があり、情報漏えいの問題により、認証されていない攻撃者がネットワーク経由でセッションハイジャックを実行できます。これにより、攻撃者はすべてのアプリケーションデータにアクセスし、変更することが可能になります。

影響と推奨事項

SAP 製品は、製造、金融、小売、医療、政府機関など、さまざまな業界の大企業に提供されており、業務運営や顧客との関係を管理する上で重要な役割を果たしています。

SAP NetWeaver は、ABAP アプリケーションを実行し、Internet Communication Framework を介してセキュアな通信を可能にするコアプラットフォームです。通常、財務、人事、サプライチェーンなどの ERP システムを管理する企業の IT 管理者、開発者、コンサルタントが使用しています。

SAP BusinessObjectsは、アナリスト、意思決定者、ITチームが洞察力を導き出し、戦略的意思決定をサポートするために使用する、レポート、分析、データ可視化のためのプラットフォームです。

ハッカーは過去に、既知の脆弱性に対処するためのアップデートが行われていなかったり、不適切に設定されていたりして、ネットワークが侵害にさらされたSAP製品を標的にしたことがある。

ドイツのベンダーは、顧客がSAP環境を保護するために利用可能な最新のパッチを適用することを強く推奨している。