Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SAP NetWeaver AS ABAP y ABAP Platform (CVE-2025-0063)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
14/01/2025
Última modificación:
14/01/2025

Descripción

SAP NetWeaver AS ABAP y ABAP Platform no comprueban la autorización cuando un usuario ejecuta algunos módulos de funciones RFC. Esto podría llevar a un atacante con privilegios de usuario básicos a obtener el control de los datos en la base de datos Informix, lo que provocaría un compromiso total de la confidencialidad, la integridad y la disponibilidad.

Referencias a soluciones, herramientas e información