CRITICAL✓ PATCH🇬🇧 English

CVE-2025-30016

SAP Financial Consolidation — ominięcie uwierzytelnienia konta Admin

CVSS 9.8v3.1pub. 2025-04-08upd. 2026-04-15

Podatność w SAP Financial Consolidation umożliwia nieuwierzytelnionemu atakującemu uzyskanie nieautoryzowanego dostępu do konta administratora. Ze względu na krytyczny poziom CVSS 9.8 oraz brak wymogu posiadania konta czy interakcji użytkownika, zagrożenie jest wyjątkowo poważne.

Pokaż oryginał (EN)

SAP Financial Consolidation allows an unauthenticated attacker to gain unauthorized access to the Admin account. The vulnerability arises due to improper authentication mechanisms, due to which there is high impact on the Confidentiality, Integrity & Availability of the application.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji mechanizmów uwierzytelnienia (CWE-921 — przechowywanie wrażliwych danych w niezabezpieczonej lokalizacji powiązane z błędem auth bypass). Atakujący zdalnie, bez żadnych uprawnień ani interakcji ze strony ofiary, może ominąć proces logowania i uzyskać dostęp do konta administratorskiego aplikacji. Mechanizm uwierzytelnienia nie wymusza właściwej weryfikacji tożsamości, co otwiera drogę do pełnego przejęcia konta Admin.

Skutki

Atakujący uzyskuje pełny dostęp do konta administratora SAP Financial Consolidation, co prowadzi do krytycznego naruszenia poufności, integralności oraz dostępności aplikacji i przetwarzanych danych finansowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — nota SAP o numerze 3572688, opublikowana w ramach SAP Security Patch Day. Zaleca się natychmiastowe wdrożenie poprawki oraz ograniczenie dostępu sieciowego do aplikacji do czasu jej zainstalowania.

Kogo dotyczy

SAP Financial Consolidation — wersje wskazane w referencjach producenta (nota SAP 3572688)

Uwagi

Podatność została ujawniona 8 kwietnia 2025 r. w ramach SAP Security Patch Day. Szczegóły techniczne dostępne są w nocie SAP 3572688 (wymaga dostępu do SAP Support Portal).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje
CVE-2025-30016 — SAP Financial Consolidation — ominięcie uwierzytelnienia konta Admin — CRITICAL 9.8 | CVEbaza.pl