9月9日，SAP发布本月例行更新（Security Patch Day），总共修补21项安全漏洞（上个月为15个）。值得关注的是，其中包含3个危险程度达到严重级别的漏洞，其中1个达到满分（10分），1个接近满分，相当危险。

最高风险漏洞：CVE-2025-42944

上述严重级别漏洞中最危险的是CVE-2025-42944，这是一个NetWeaver反序列化漏洞。攻击者可在未经授权的情况下，通过特定的公开端口发送恶意负载，有机会通过RMI-P4模块触发该漏洞，CVSS风险评分为10分。一旦不可信的Java对象在反序列化过程中被处理，攻击者就可能执行任意操作系统命令，严重危害应用程序的机密性、完整性与可用性。

长期分析SAP每月例行更新的安全厂商Onapsis指出，攻击者若成功利用该漏洞，有可能完全入侵整个应用程序；若暂时无法应用修补程序，IT人员应限制P4端口的访问以应对风险。

接近满分风险漏洞：CVE-2025-42922

另一个风险评分接近满分的漏洞是CVE-2025-42922，存在于NetWeaver AS Java中。攻击者若获得非管理员用户身份，并通过身份验证后，可利用特定服务的弱点上传任意文件，从而完全入侵系统，严重破坏信息安全，风险评分为9.9。

第三项严重漏洞：CVE-2025-42958

第三个严重漏洞为CVE-2025-42958，属于NetWeaver缺乏身份验证检查所导致的问题，影响运行在IBM i系列操作系统上的NetWeaver。具有高权限的用户可在未经授权的情况下访问管理员或特权功能，进而读取、修改或删除敏感信息，风险评分为9.1。

关于CVE-2023-27500的更新说明

此次SAP也对2023年3月披露的CVE-2023-27500发布了更新公告。该漏洞存在于NetWeaver AS for ABAP及ABAP平台，风险评分为9.6。公司补充说明了哪些信息？非SAP用户无法得知变更的具体内容。根据Onapsis透露，主要是新增了修正版本的指引。