企业资源规划（ERP）软件 SAP S/4HANA 存在一个高危安全漏洞，目前该漏洞已在实际场景中被攻击者利用。 该漏洞为命令注入漏洞，漏洞编号为 CVE-2025-42957（CVSS 评分为 9.9），SAP 已在上个月的月度更新中修复了此漏洞。 美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）中对该漏洞的描述显示：“SAP S/4HANA 允许拥有用户权限的攻击者，利用远程函数调用（RFC）暴露的函数模块中的漏洞。此漏洞可使攻击者向系统注入任意 ABAP 代码，绕过关键的权限校验。”

漏洞影响与利用后果

成功利用该漏洞可能导致 SAP 环境被完全攻陷，破坏系统的保密性、完整性和可用性。具体而言，攻击者可通过该漏洞实现以下操作：

• 修改 SAP 数据库；
• 创建拥有 SAP_ALL 权限（最高权限）的超级用户账户；
• 下载密码哈希值；
• 篡改业务流程。

SecurityBridge 威胁研究实验室在周四（注：指 2025 年 9 月 4 日）发布的预警中指出，已监测到该漏洞被实际利用的情况，并表示该漏洞同时影响本地部署版（on-premise）和私有云版（Private Cloud）的 SAP S/4HANA。 该实验室表示：“攻击者只需获取低权限用户权限，即可完全攻陷 SAP 系统。以极低的操作成本就能实现系统全面沦陷，漏洞被成功利用后，极易引发欺诈、数据窃取、间谍活动或勒索软件安装等严重后果。” 实验室还提到，目前尚未发现该漏洞被大规模利用的情况，但威胁行为者已掌握利用该漏洞的相关技术，且通过逆向工程分析补丁以制作漏洞利用工具 “相对容易”。

安全建议

因此，建议各企业立即采取以下措施：

1. 尽快应用相关补丁；
2. 监控日志，排查可疑的 RFC 调用或新增管理员账户；
3. 确保已部署适当的网络分段和数据备份机制；
4. 考虑部署 SAP UCON（统一连接管理）以限制 RFC 的使用，并审查且限制对权限对象 S_DMIS 中 “活动 02”（activity 02）的访问权限。