1. Tổng quan và phân tích
SAP vừa công bố bản vá cho hai lỗ hổng CVE-2025-0070 & CVE-2025-0066. Khai thác thành công có thể cho phép kẻ tấn công leo thang đặc quyền và truy cập vào thông tin bị hạn chế; tiềm ẩn những lo ngại về bảo mật.
Tóm tắt hai lỗ hổng:
**CVE-2025-0070
- CWE-287: (Improper Authentication)
- CVSS score: 9.9
- Severity: Critical
- Mô tả: Máy chủ SAP ABAP Platform cho phép kẻ tấn công đã được xác thực có quyền truy cập trái phép vào hệ thống bằng cách khai thác cơ chế kiểm tra xác thực không đúng cách, dẫn đến leo thang đặc quyền. Nếu được khai thác thành công, điều này có thể dẫn đến những lo ngại tiềm ẩn về bảo mật. Điều này dẫn đến tác động lớn đến tính bảo mật, tính toàn vẹn và tính sẵn sàng.
**CVE-2025-0066
- CWE-732: Incorrect Permission Assignment for Critical Resource
- CVSS score: 9.9
- Severity: Critical
- Mô tả: Trong một số điều kiện nhất định, máy chủ SAP ABAP Platform (Internet Communication Framework) cho phép kẻ tấn công truy cập thông tin bị hạn chế cho cơ chế kiểm soát truy cập yếu.
2. Ảnh hưởng và giảm thiểu rủi ro
SAP đã phát hành các phiên bản mới, bao gồm bản vá cho lỗ hổng này, cụ thể như sau:
| STT | CVE ID | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | CVE-2025-0070 | KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13, 9.14 | https://me.sap.com/notes/3537476 |
| 2 | CVE-2025-0066 | SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 912, SAP_BASIS 913, SAP_BASIS 914 | https://me.sap.com/notes/3537476 |
