SAP 于本周二发布的月度安全更新中，修复了其 NetWeaver 平台上一个风险等级为 “严重” 的漏洞（CVE-2025-42944）—— 该漏洞的 CVSS 3.1 评分为最高级别的 10.0，攻击者可利用此漏洞在无需身份验证的情况下远程执行任意代码。 这款企业级应用服务器软件被全球数千家组织广泛用于运行关键业务流程，因此该漏洞一旦被利用，可能导致受影响系统的机密性、完整性和可用性完全受损。 SAP 在安全公告（编号 3634501）中指出，该漏洞源于 NetWeaver 的 Java 远程方法调用（RMI-P4）组件存在 “不安全反序列化” 问题。远程攻击者无需获得系统访问权限，即可通过发送特制的序列化数据触发漏洞，进而在目标服务器上执行恶意代码。 安全厂商 Onapsis 的研究主管约书亚・科恩（Joshua Cohen）表示：“鉴于 NetWeaver 在 SAP 技术栈中的核心地位，此漏洞对企业构成重大风险。若未及时修补，攻击者可能借此深入企业 IT 环境，窃取敏感数据或中断关键业务运营。”

其他需重点关注的漏洞

除上述 10.0 评分的漏洞外，此次更新还修复了 20 个其他安全缺陷，其中 3 个漏洞的 CVSS 评分达到 “高危” 级别（9.0 及以上），具体包括：

• CVE-2025-42922（CVSS 9.9）：影响 NetWeaver 应用服务器（AS）Java 版本，属于 “不安全文件操作” 漏洞。低权限用户可利用此漏洞读取、修改或删除系统敏感文件，甚至篡改关键配置；
• CVE-2025-42958（CVSS 9.1）：NetWeaver 中的 “缺失身份验证检查” 漏洞。高权限攻击者可绕过身份验证机制，非法访问系统核心功能与数据；
• CVE-2023-27500（CVSS 9.6）：针对此前披露的 NetWeaver ABAP 应用服务器 “目录遍历” 漏洞的更新补丁。该漏洞允许低权限用户覆盖系统关键文件，可能引发服务器崩溃或数据永久损坏。

此外，更新中还包含多个高优先级漏洞的修复，涉及 SAP Business One、SAP S/4HANA（私有云 / 本地部署版）及 SAP 景观转换复制服务器等产品，漏洞类型涵盖敏感信息泄露、输入验证缺失等，可能导致攻击者获取企业财务数据、客户信息等敏感资产。

修复建议与影响范围

SAP 强调，所有使用受影响 NetWeaver 版本（包括 7.50 及以上主流版本）的客户应立即部署补丁，尤其是运行 Java 环境的系统 —— 此类系统因直接暴露 RMI-P4 服务，面临的攻击风险更高。 对于无法立即停机更新的企业，SAP 提供了临时缓解措施：通过防火墙限制对 RMI-P4 服务端口（默认 50004）的访问，仅允许可信 IP 地址连接；同时禁用未使用的 RMI-P4 功能，减少攻击面。 值得注意的是，此次修复还包含对部分旧漏洞补丁的优化。例如，针对 2025 年初披露的 CVE-2025-27428（NetWeaver 目录遍历漏洞），SAP 改进了补丁的防御逻辑，防止攻击者通过变种攻击手段绕过防护。 安全研究机构 Mandiant 警告，近期已观察到黑客组织开始扫描互联网上暴露的 NetWeaver 服务器，寻找未修补的 CVE-2025-42944 漏洞。“考虑到 SAP 系统在制造业、金融业等关键行业的普及性，此类漏洞可能成为针对性攻击的重要切入点，企业需加快补丁部署节奏。”