在 SAP NetWeaver 中发现了一个严重漏洞 CVE-2025-42922，该漏洞允许经过身份验证的低权限攻击者执行任意代码并实现整个系统入侵。

该缺陷存在于部署 Web 服务上传机制中，其中访问控制验证不足允许上传和执行恶意文件。

该漏洞对依赖受影响 SAP 系统的组织构成重大风险，因为它可以被利用来完全控制服务器。

SAP NetWeaver 漏洞

根据 Vahagn Vardanian 的说法，该漏洞的根本原因是 Deploy Web 服务中的不安全文件上传功能。

该服务错误地接受请求，而没有对文件类型和内容进行适当的基于角色的访问控制 （RBAC） 强制实施或验证。multipart/form-data

这种疏忽是由于身份验证注释不正确以及应用程序代码中的角色检查不足造成的。

因此，获得任何有效低级用户凭据的攻击者可以绕过安全控制，这些控制应将文件部署功能限制为仅管理用户，Vahagn Vardanian 说。

该机制无法验证经过身份验证的用户是否具有执行此类敏感作所需的权限，从而创建了代码执行的直接路径。

攻击者可以通过首先获得对低特权用户帐户的访问权限来利用此漏洞。

使用这些凭据，他们可以向易受攻击的 Deploy Web Service 进行身份验证，并制作包含恶意文件（例如 JavaServer Pages （JSP） 脚本）的多部分请求。

应用程序不正确地接受此文件并将其上传到服务器上可以执行该文件的目录。

然后，攻击者只需通过访问其 URL 来触发上传文件的执行。成功利用该漏洞会导致使用 SAP 服务帐户的权限执行任意代码。

这使得威胁行为者能够提升权限、在网络中横向移动、泄露敏感数据或部署更多恶意软件，从而导致服务器完全接管。

缓解措施

为了解决这一关键问题，强烈建议组织立即应用 SAP 安全说明 3643865 中发布的补丁。

在修补之前，管理员应执行 SAP Note 1974464 中概述的依赖关系分析。对于无法立即修补的系统，SAP 在 KBA 3646072 中提供了临时解决方法。

作为补充措施，对部署 Web 服务的访问应仅限于管理用户。

安全团队应审核系统日志中的入侵指标 （IOC），例如来自非管理帐户的 DeployWS 终结点的 HTTP POST 请求、包含可执行文件类型（JSP、WAR、EAR）的提交或在异常时间发生的部署活动。multipart/form-data

日志或 Web 应用程序防火墙 （WAF） 的示例过滤器可以是 。source.user != "admin" AND http.method == "POST" AND http.path CONTAINS "DeployWS"