SAP đã phát hành các bản vá bảo mật quan trọng vào ngày 9 tháng 9 năm 2025, nhằm khắc phục 21 lỗ hổng SAP mới được phát hiện và cung cấp các cập nhật cho bốn ghi chú bảo mật đã phát hành trước đó. Động thái này là cần thiết để giảm thiểu rủi ro bảo mật cho các môi trường SAP.

Với bốn vấn đề được xếp hạng là Critical, các tổ chức đang vận hành môi trường SAP được khuyến nghị ưu tiên áp dụng bản vá. Việc này giúp bảo vệ hệ thống khỏi các khai thác tiềm ẩn.

Tổng Quan Về Bản Vá Bảo Mật và Các Lỗ Hổng SAP Tháng 9/2025

Bản phát hành tháng này bao gồm nhiều sản phẩm SAP khác nhau. Các sản phẩm đó bao gồm các thành phần NetWeaver, nền tảng ABAP, S/4HANA và các module Business One.

Trong số các lỗ hổng mới được giải quyết, bốn lỗ hổng có điểm CVSS từ 9.0 trở lên. Điều này phản ánh mức độ nghiêm trọng và tác động tiềm tàng đến tính bảo mật, toàn vẹn và khả dụng nếu không được vá kịp thời.

Ngoài ra, SAP cũng đã cập nhật bốn ghi chú bảo mật trước đó để tinh chỉnh hoặc mở rộng các bản vá hiện có.

SAP đặc biệt khuyến nghị khách hàng truy cập Cổng thông tin hỗ trợ và áp dụng ngay các ghi chú bảo mật liên quan. Việc tuân thủ hướng dẫn cấu hình bảo mật an toàn cũng rất cần thiết để duy trì một tư thế bảo mật mạnh mẽ.

Các Lỗ Hổng Nghiêm Trọng (Critical) và Điểm CVSS Cao

Bốn trong số các lỗ hổng CVE mới được khắc phục có điểm CVSS từ 9.0 trở lên. Các lỗi này có thể dẫn đến việc chiếm quyền điều khiển hệ thống, rò rỉ dữ liệu nhạy cảm hoặc gián đoạn dịch vụ nghiêm trọng.

Việc không vá lỗi kịp thời đối với các lỗ hổng này có thể tạo cơ hội cho các tác nhân đe dọa thực hiện các cuộc tấn công tinh vi.

Chi Tiết Các Lỗ Hổng SAP Critical

• Deserialization không an toàn trong SAP NetWeaver: Lỗi này cho phép kẻ tấn công thực thi mã từ xa thông qua việc thao tác dữ liệu được serialize.
• Thao tác tệp không an toàn trong AS Java: Có thể dẫn đến việc ghi đè hoặc đọc các tệp quan trọng của hệ thống.
• Directory Traversal trong nền tảng ABAP: Cho phép kẻ tấn công truy cập vào các tệp hoặc thư mục ngoài phạm vi dự kiến.
• Thiếu kiểm tra xác thực trong kernel NetWeaver: Kẻ tấn công có thể bỏ qua các cơ chế xác thực, dẫn đến truy cập trái phép.

Các Lỗ Hổng Mức Độ Cao (High) và Trung Bình (Medium)

Bên cạnh các lỗ hổng nghiêm trọng, SAP cũng đã xử lý một số lượng đáng kể các lỗ hổng có mức độ rủi ro cao và trung bình. Những lỗ hổng này cũng yêu cầu sự chú ý và hành động kịp thời.

Lỗ Hổng Mức Độ Cao

Các lỗ hổng SAP mức độ cao chủ yếu liên quan đến thiếu kiểm tra đầu vào hoặc lưu trữ không an toàn. Chúng ảnh hưởng đến các module như Business One, quá trình sao chép S/4HANA và máy chủ SAP Landscape Transformation.

Những vấn đề này có thể dẫn đến rò rỉ thông tin, sửa đổi dữ liệu hoặc gây ra điều kiện từ chối dịch vụ cục bộ.

Lỗ Hổng Mức Độ Trung Bình

Các lỗ hổng SAP mức độ trung bình bao gồm cấu hình sai, cross-site scripting (XSS) và thiếu kiểm tra ủy quyền. Các vấn đề này được tìm thấy trong các ứng dụng HCM Fiori, Commerce Cloud và các module Business Planning.

Mặc dù không nghiêm trọng bằng các lỗ hổng Critical, chúng vẫn có thể bị khai thác để thực hiện các cuộc tấn công lừa đảo hoặc truy cập thông tin không được phép.

Lỗ Hổng Mức Độ Thấp và Khuyến Nghị Bảo Mật

Bên cạnh các lỗ hổng có mức độ nghiêm trọng cao, bản vá tháng 9 cũng giải quyết một số vấn đề có mức độ rủi ro thấp hơn nhưng vẫn quan trọng để duy trì một môi trường bảo mật toàn diện.

Hai lỗ hổng được xếp hạng thấp bao gồm reverse tabnabbing trong Fiori launchpads và OpenSSL lỗi thời trong Adobe Document Services. Ngoài ra, một lỗ hổng lịch sử trong Commerce Cloud cũng đã được giải quyết.

SAP mạnh mẽ khuyến nghị khách hàng truy cập Cổng thông tin hỗ trợ để nắm bắt thông tin chi tiết. Tại đây, bạn có thể tìm thấy bảng tổng hợp liệt kê từng ghi chú bảo mật, mã định danh CVE liên quan, sản phẩm, phiên bản, mức độ ưu tiên và điểm CVSS.

Để biết hướng dẫn chi tiết và các bản vá trước đây, vui lòng tham khảo tài liệu chính thức của SAP trên Cổng thông tin hỗ trợ. Việc tuân thủ các hướng dẫn cấu hình bảo mật là rất quan trọng để giảm thiểu lỗ hổng SAP và duy trì một môi trường an toàn.

Xem thông tin chi tiết và áp dụng các bản vá liên quan tại: SAP Support Portal. Các tổ chức nên thực hiện các update vá lỗi này ngay lập tức để đảm bảo hệ thống của bạn được bảo vệ khỏi các lỗ hổng SAP tiềm ẩn.