一、 漏洞 CVE-2025-27436 基础信息
漏洞标题
SAP S/4HANA中存在访问控制不当漏洞(管理银行对账单)
来源:AIGC 神龙大模型
漏洞描述信息
SAP S/4HANA中的银行对账单管理功能没有对已认证用户进行必要的访问控制检查,以确认与资源交互的请求是否合法,从而允许攻击者删除已发布的银行对账单的附件。这将对数据完整性造成较低的影响,但不会对数据的保密性或应用程序的可用性造成影响。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
Broken Access Control vulnerabilities in SAP S/4HANA (Manage Bank Statements)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Manage Bank Statements in SAP S/4HANA does not perform required access control checks for an authenticated user to confirm whether a request to interact with a resource is legitimate, allowing the attacker to delete the attachment of a posted bank statement. This leads to a low impact on integrity, with no impact on the confidentiality of the data or the availability of the application.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过用户控制密钥绕过授权机制
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-27436 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
