​

IT 经理应检查其网络中使用的软件是否受到漏洞影响，并及时安装可用的更新。

按风险分类排序的最新 SAP 安全公告：

• SAP S/4HANA（私有云）中的代码注入漏洞，CVE-2025-27429，CVSS 9.9，风险“严重”

• SAP Landscape Transformation（分析平台）中的代码注入漏洞，CVE-2025-31330，CVSS 9.9，严重

• SAP Financial Consolidation 中的身份验证绕过漏洞，CVE-2025-30016，CVSS 9.8，严重

• SAP NetWeaver 应用服务器 ABAP 中的远程函数调用 (RFC) 混合动态 RFC 目标漏洞，CVE-2025-23186，CVSS 8.5，高

• SAP Commerce Cloud 中的 Apache Tomcat 中的检查时间使用时间 (TOCTOU) 竞争条件漏洞，CVE-2024-56337，CVSS 8.1，高

• SAP Capital Yield Tax Management 中的目录遍历漏洞，CVE-2025-30014，CVSS 7.7，高

• SAP NetWeaver 和 ABAP 平台（服务数据收集）中的目录遍历漏洞，CVE-2025-27428，CVSS 7.7，高

• SAP Commerce Cloud（公共云）中的潜在信息泄露漏洞，CVE-2025-26654，CVSS 6.8，中等

• SAP ERP BW Business Content 中的代码注入漏洞，CVE-2025-30013，CVSS 6.7，中等

• SAP BusinessObjects Business Intelligence 平台中的不安全文件权限漏洞，CVE-2025-31332，CVSS 6.6，中等

• SAP KMC WPC 中的信息泄露漏洞，CVE-2025-26657，CVSS 5.3，中等

• SAP NetWeaver 应用服务器 ABAP（基于 SAP GUI for HTML 的应用程序）中的跨站点脚本 (XSS) 漏洞，CVE-2025-26653，CVSS 4.7，中等

• SAP 解决方案管理器中缺少授权检查，CVE-2025-30017，CVSS 4.4，中等

• SAP S4CORE 实体中的 Odata 元数据篡改，CVE-2025-31333，CVSS 4.3，中等

• SAP NetWeaver 应用服务器 ABAP（病毒扫描接口）中缺少授权检查，CVE-2025-27437，CVSS 4.3，中等

• SAP NetWeaver 中的授权绕过漏洞，CVE-2025-31331，CVSS 4.3，中等

• SAP Commerce Cloud 中的信息泄露漏洞，CVE-2025-27435，CVSS 4.2，中等

• SAP NetWeaver 和 ABAP 平台（应用服务器 ABAP）中的内存损坏漏洞，CVE-2025-30015，CVSS 4.1中等

SAP 还更新了两个较旧的安全通知：一个涉及 SAP BusinessObjects 商业智能平台，该平台于 2 月份首次发现高风险漏洞；另一个涉及 SAP CRM 和 SAP S/4 HANA 中的低严重性服务器端请求伪造 (SSRF)，该漏洞最初于 3 月份得到解决。

阅读原文：原文链接