【漏洞預警】SAP 針對旗下 2 款產品發布重大資安公告 (CVE-2025-42928、CVE-2025-42880)
發布日期:2025.12.16
內容說明
轉發:台灣電腦網路危機處理暨協調中心(TWCERT/CC)
資安訊息警訊:TWCERTCC-200-202512-00000005
- CVE-2025-42928(CVSS 9.1)
反序列化漏洞,具高權限的使用者可能利用此漏洞觸發遠端程式碼執行(RCE), 影響系統的機密性、完整性與可用性。 - CVE-2025-42880(CVSS 9.9)
由於缺乏輸入過濾機制,SAP Solution Manager 允許已驗證的攻擊者於支援遠端功能模組中植入惡意程式碼, 影響系統的機密性、完整性與可用性。
影響平台
- CVE-2025-42928: SAP jConnect – SDK for ASE (SYBASE_SOFTWARE_DEVELOPER_KIT) 16.0.4、16.1
- CVE-2025-42880: SAP Solution Manager ST 720
建議措施
請依 SAP 官方公告進行修補:
SAP Security Notes – December 2025