SAP fixes maximum severity NetWeaver command execution flaw

SAPは、NetWeaverソフトウェアソリューションに影響を与える3つの重大な問題を含む、同社製品に影響を与える21の新たな脆弱性に対処しました。

SAP NetWeaverは、ERP、CRM、SRM、SCMといったSAPのビジネスアプリケーションの基盤であり、大規模な企業ネットワークに広く導入されているモジュール型ミドルウェアとして機能する。

企業資源計画(ERP)ソフトウェアのプロバイダーであるSAPは、9月のセキュリティ情報において、CVE-2025-42944として特定される最大深刻度10点満点の脆弱性をリストアップしている。

このセキュリティ問題は、SAP NetWeaver (RMIP4), ServerCore 7.50 における安全でないデシリアライゼーションの脆弱性です。

未認証の攻撃者がこの脆弱性を悪用し、RMI-P4 モジュールを介して悪意のある Java オブジェクトをオープンポートに送信することで、任意の OS コマンドを実行される可能性があります。

RMI-P4 は、SAP NetWeaver AS Java が SAP 間の内部通信や管理のために使用する Remote Method Invocation プロトコルです。

P4 ポートはホスト上でオープンになっていますが、ファイアウォールやその他の設定ミスにより、組織によっては不注意にこのポートをより広いネットワークやインターネットに公開してしまう可能性があります。

このセキュリティ情報によると、SAP が今月修正した 2 つ目の重大な欠陥は、CVE-2025-42922(CVSS v3.1 スコア:9.9)で、NetWeaver AS Java(Deploy Web Service)、J2EE-APPS 7.50 に影響する安全でないファイル操作のバグです。

管理者以外の認証アクセス権を持つ攻撃者は、ウェブサービスのデプロイ機能の欠陥を悪用して任意のファイルをアップロードすることができ、潜在的にシステムの完全な侵害を許す可能性があります。

三つ目の脆弱性は、NetWeaver における認証チェックの欠落で、CVE-2025-42958(CVSS v3.1 スコア: 9.1) として追跡されています。

この脆弱性により、無許可の高特権ユーザーが機密データを読んだり、変更したり、削除したり、管理機能にアクセスしたりすることが可能になります。

SAP はまた、以下の新たな深刻度の高い欠陥に対処しました:

  • CVE-2025-42933(SAP Business One SLD):CVE-2025-42933(SAP Business One SLD):機密データ(認証情報など)の安全でない保存。
  • CVE-2025-42929(SLT レプリケーションサーバ):CVE-2025-42929 (SLT レプリケーションサーバ): 入力検証の欠落により、悪意のある入力によってレプリケートされた データが破損したり操作されたりする可能性があります。
  • CVE-2025-42916(S/4hana):CVE-2025-42916 (S/4hana):コアコンポーネントにおける入力検証の欠落。

SAP 製品は、大規模な組織で導入され、ミッションクリティカルなデータを扱うことが多いため、価値の高い侵害を求める脅威者に狙われることがよくあります。

今月初め、ハッカーがCVE-2025-42957として追跡されている重大なコードインジェクションの脆弱性を悪用していたことが明らかになり、S/4HANA、Business One、NetWeaver製品に影響を与えました。

システム管理者は、3つの重大な欠陥に対するパッチ適用と緩和策の推奨に従ってください。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus Blue Report 2025

パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加

46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。

今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。