本週二（6月10日）SAP发布6月份Security Patch Day每月例行更新，总共发布14则公告，其中最受到关注的部分，是应用程序服务器NetWeaver的重大漏洞CVE-2025-42989，由于SAP从4月底至5月上旬，先后修补已被用于攻击行动的NetWeaver资安漏洞CVE-2025-31324、CVE-2025-42999（CVSS风险值为10分、9.1分），由于上述事故的发生，使得与这套应用程序服务器相关的严重漏洞，近期特别受到关注。

CVE-2025-42989存在于NetWeaver Application Server for ABAP，为缺乏授权检查的漏洞，影响核心为7.89、7.93、9.14、9.15版的应用程序服务器系统，CVSS风险评为9.6分。由于SAP的公告相当简略，为了进一步了解漏洞带来的危害，我们到网路上寻找相关资讯，有一家资安业者Onapsis对这回SAP的公告内容提出看法，而他们就是上个月找到CVE-2025-42999、长期关注SAP应用系统资安的厂商。

Onapsis特别提及这项漏洞的严重性，他们指出，此弱点出现于SAP远端功能呼叫（Remote Function Call，RFC）框架，在特定的情况下，通过身分验证的攻击者能藉此绕过标準的授权检查流程，从而提升权限，进而对系统完整性与可用性构成重大威胁。所幸，目前尚未出现这个漏洞被用于实际攻击的情况。

对于SAP修补的其他弱点，涵盖资讯洩露、跨网站指令码（XSS）、服务器请求伪造（SSRF）、路径穿越，以及缺乏授权检查的问题。