4月8日SAP发布本月例行更新，总共针对20项漏洞发布或更新资安公告，值得留意的是，其中有3项CVSS风险接近满分的重大层级漏洞，相当危险。

这些漏洞为CVE-2025-27429、CVE-2025-31330、CVE-2025-30016，分别出现在S/4HANA、Landscape Transformation、Financial Consolidation等应用系统。其中，CVE-2025-27429、CVE-2025-31330都是程序码注入漏洞，危险程度达到9.9分（满分10分），CVE-2025-30016为身分验证绕过漏洞，危险程度为9.8分。

针对CVE-2025-27429、CVE-2025-31330，SAP指出具有使用者权限的攻击者能在曝露的功能模组触发，而有机会在绕过基本的授权检核机制的情况下，在系统注入任意的ABAP程序码。SAP指出这些漏洞形同后门，会导致攻击者能完全控制整个系统，破坏其机密性、完整性，以及可用性。

对于SAP在两项漏洞提出几乎完全一模一样的说明，资安业者Onapsis表示，这两个其实是相同的弱点，都存在于SAP的ECC选用附加元件资料迁移服务器（Data Migration Server，DMIS），不过攻击者想要利用存在必要条件，那就是要在对应的函数功能或是模组，通过S_RFC授权。

而对于第3项重大漏洞CVE-2025-30016，SAP指出，这是能让攻击者在未经授权的情况下存取管理员帐号的弱点，起因是身分验证机制不当造成，同样高度影响应用系统的机密性、完整性，以及可用性。