FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员近日发出警报，SAP系统中发现一个重大安全漏洞。该漏洞严重程度评分高达9.9分（满分10分），可能使攻击者完全控制企业的SAP网络及其中存储的所有敏感数据。

这一发现来自SecurityBridge威胁研究实验室，该团队专门从事SAP安全弱点研究。众所周知，SAP软件是全球无数企业的核心系统，负责财务、物流等关键功能，这意味着任何重大安全漏洞都会带来迫在眉睫的高风险。

代码注入威胁分析

SecurityBridge团队发现的最严重问题是Note 3668705（CVE-2025-42887），该漏洞影响SAP Solution Manager组件。该组件是用于管理其他SAP系统的核心工具。

该漏洞属于代码注入类型，攻击者可利用远程功能植入恶意代码。一旦注入成功，将导致系统完全沦陷。SecurityBridge安全研究总监Joris van de Vis在声明中强调："该漏洞特别危险，因为低权限用户即可实施代码注入，最终导致整个SAP系统及其中所有数据被完全控制。"

必须立即安装补丁

该高危漏洞包含在SAP 2025年11月11日"补丁日"发布的25项安全更新中。本月修复包含4项最高优先级HotNews类补丁。

除该漏洞外，SAP还修复了SQL Anywhere Monitor工具中硬编码登录凭证的满分漏洞（CVE-2025-42890，10.0/10分），以及SAP SRM组件的HotNews更新（Note 3647332）。此外还发布了两项高优先级补丁，包括用于加密任务的SAP CommonCryptoLib内存漏洞修复（Note 3633049）。

SAP已针对CVE-2025-42887发布公开补丁。虽然补丁可解决问题，但其发布也为网络犯罪分子提供了攻击思路，可能加速漏洞利用开发。因此强烈建议所有使用SAP的企业立即安装该补丁。

值得注意的是，SAP还为较旧的SAP Business Connector工具发布了四项更新。SecurityBridge团队还发现另外两个在11月补丁中修复的问题：中危漏洞（Note 3643337）和低危漏洞（Note 3634053）。该公司早在2025年10月30日就向客户提前通报了这些发现，建议其在公开披露前更新安全防护。

参考来源：

SAP Pushes Emergency Patch for 9.9 Rated CVE-2025-42887 After Full Takeover Risk

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）