SAP S/4HANA 中存在一个高危漏洞，目前已在实际场景中被攻击者利用。即便是拥有低权限用户访问权限的攻击者，也可通过该漏洞完全控制受影响的系统。 该漏洞编号为 CVE-2025-42957，CVSS 评分为 9.9（满分 10 分），这意味着所有运行 S/4HANA 各版本的企业（无论采用本地部署还是私有云部署）都面临严重且紧迫的威胁。 此漏洞由 SecurityBridge 威胁研究实验室的研究人员发现，目前该实验室已证实，恶意攻击者已开始利用该漏洞发起攻击。 SAP 已于 2025 年 8 月 11 日发布相关补丁，专家强烈敦促所有客户立即安装该安全更新。

SAP S/4HANA 漏洞遭实际利用

成功利用这一 ABAP 代码注入漏洞后，攻击者可获得完整的管理员权限，进而访问底层操作系统，并完全控制 SAP 系统内的所有数据。 该漏洞引发的后果极为严重，可能包括敏感业务信息被盗、财务欺诈、间谍活动，或是勒索软件的部署。 攻击者无需复杂操作，即可直接在数据库中删除或插入数据、创建拥有 SAP_ALL 权限（最高权限）的新管理员账户、下载密码哈希值，以及修改核心业务流程。 CVE-2025-42957 的高危性还体现在其攻击门槛极低：攻击者只需获取一个低权限用户账户（可通过钓鱼或其他常见手段获取），之后便能通过网络利用该漏洞，且无需用户交互，即可提升自身权限，最终实现对整个系统的完全攻陷。 SecurityBridge 于 2025 年 6 月 27 日已通过负责任的漏洞披露渠道向 SAP 报告了该漏洞，并警告称，未打补丁的系统正面临直接风险。 由于 SAP 的 ABAP 代码是公开的，对于技术娴熟的攻击者而言，通过逆向工程分析补丁以制作可用的漏洞利用工具，是一项相对简单的任务。

防御建议

安全专家已为企业提供明确的防护指导：

1. 立即打补丁：即刻安装 SAP 2025 年 8 月发布的安全更新，尤其是 SAP 说明文档（SAP Notes）3627998 和 3633838。
2. 审查访问权限：限制对 S_DMIS 权限对象的访问，并考虑部署 SAP UCON（统一连接管理）以限制 RFC（远程函数调用）的使用。
3. 监控系统日志：密切关注可疑的 RFC 调用、新高权限用户的创建，以及 ABAP 代码的异常修改。
4. 强化防御措施：确保部署完善的系统分段、定期数据备份，以及 SAP 专用安全监控解决方案，以检测并响应攻击。