SAP - tập đoàn phần mềm doanh nghiệp hàng đầu thế giới, đã phát hành gói cập nhật bảo mật toàn diện, khắc phục 15 lỗ hổng trong hệ sinh thái phần mềm của mình. Trong số đó, 3 lỗ hổng nghiêm trọng thuộc nhóm “Code Injection” được đánh giá có rủi ro cao nhất, đe dọa trực tiếp đến hạ tầng CNTT của hàng triệu tổ chức trên toàn cầu.
Lỗ hổng "Code Injection" - Nguy cơ biến hệ thống thành sân chơi của hacker
SAP đã triển khai các bản vá bảo mật toàn diện vào ngày 12/8/2025, giải quyết tổng cộng 15 lỗ hổng bảo mật trên toàn hệ sinh thái phần mềm doanh nghiệp, đặc biệt chú trọng đến ba lỗ hổng tiêm mã gây ra rủi ro đáng kể cho cơ sở hạ tầng của tổ chức. Trong đó ba lỗ hổng nghiêm trọng thuộc kiểu code injection (tức là tiêm mã độc), có mức độ nguy hiểm tối đa CVSS 9,9. Theo phân tích của SAP, code injection xảy ra khi phần mềm không kiểm tra chặt chẽ dữ liệu đầu vào, tạo cơ hội cho kẻ tấn công chèn các đoạn mã độc vào quy trình xử lý của ứng dụng. Dưới đây là chi tiết từng lỗ hổng:
Nếu bị khai thác, hacker có thể:
Bên cạnh nhóm injection, bản vá lần này còn khắc phục 12 lỗi khác gồm:
Vì SAP hiện được triển khai tại hơn 180 quốc gia và phục vụ hàng triệu doanh nghiệp, từ tập đoàn đa quốc gia đến cơ quan chính phủ, nên phạm vi ảnh hưởng là rất rộng. Những hệ thống chưa được vá kịp thời có thể trở thành mục tiêu ưu tiên của các nhóm tấn công mạng, đặc biệt trong bối cảnh tội phạm mạng thường săn lùng các hệ thống ERP có giá trị dữ liệu cao.
Các chuyên gia an ninh mạng khuyến cáo:
Lỗ hổng "Code Injection" - Nguy cơ biến hệ thống thành sân chơi của hacker
SAP đã triển khai các bản vá bảo mật toàn diện vào ngày 12/8/2025, giải quyết tổng cộng 15 lỗ hổng bảo mật trên toàn hệ sinh thái phần mềm doanh nghiệp, đặc biệt chú trọng đến ba lỗ hổng tiêm mã gây ra rủi ro đáng kể cho cơ sở hạ tầng của tổ chức. Trong đó ba lỗ hổng nghiêm trọng thuộc kiểu code injection (tức là tiêm mã độc), có mức độ nguy hiểm tối đa CVSS 9,9. Theo phân tích của SAP, code injection xảy ra khi phần mềm không kiểm tra chặt chẽ dữ liệu đầu vào, tạo cơ hội cho kẻ tấn công chèn các đoạn mã độc vào quy trình xử lý của ứng dụng. Dưới đây là chi tiết từng lỗ hổng:
1. CVE-2025-42957 - Code Injection trong SAP S/4HANA (on-premise & private cloud)
Kẻ tấn công có thể dùng các lệnh từ xa để chèn mã ABAP độc hại vào hệ thống, vượt qua kiểm tra xác thực và chiếm quyền kiểm soát hệ thống.2. CVE-2025-42950 - Code Injection trong SAP Landscape Transformation (SLT) Analysis Platform
Cũng khai thác qua giao diện RFC, kẻ tấn công có thể tiêm mã ABAP độc hại, dẫn đến khả năng kiểm soát toàn bộ hệ thống SLT.3. CVE-2025-27429 - Code Injection trong SAP S/4HANA (bản cập nhật từ tháng 4)
Đây là lỗ hổng đã được vá trước đó, nhưng bản vá được cập nhật mở rộng hơn trong đợt patch ngày 12/08 nhằm tăng hiệu quả khắc phục. Cũng thuộc dạng tiêm mã qua RFC.- Vượt qua bước xác thực để vào thẳng hệ thống.
- Đọc và chỉnh sửa dữ liệu nhạy cảm như thông tin tài chính, hồ sơ nhân sự, bí mật kinh doanh.
- Chiếm quyền quản trị để điều khiển toàn bộ hệ thống SAP.
Bên cạnh nhóm injection, bản vá lần này còn khắc phục 12 lỗi khác gồm:
- XSS (Cross-Site Scripting) - chèn mã độc vào trình duyệt người dùng.
- Privilege escalation - leo thang đặc quyền để thực hiện hành vi trái phép.
- Authentication bypass - bỏ qua bước xác thực.
- Information disclosure - rò rỉ thông tin hệ thống.
Mã CVE | Loại lỗ hổng | Mức độ nghiêm trọng | Điểm CVSS |
| CVE-2025-7734 | Kịch bản chéo trang trong trình xem blob | Cao | 8,7 |
| CVE-2025-7739 | Kịch bản chéo trang trong nhãn | Cao | 8,7 |
| CVE-2025-6186 | Kịch bản chéo trang trong Workitem | Cao | 8,7 |
| CVE-2025-8094 | Quyền không phù hợp trong API dự án | Cao | 7.7 |
| CVE-2024-12303 | Phân công đặc quyền không chính xác | Trung bình | 6.7 |
| CVE-2025-2614 | Bỏ qua giới hạn phân bổ tài nguyên | Trung bình | 6,5 |
| CVE-2024-10219 | Quyền hạn không chính xác trong API công việc | Trung bình | 6,5 |
| CVE-2025-8770 | Bỏ qua phê duyệt yêu cầu hợp nhất | Trung bình | 6,5 |
| CVE-2025-2937 | Độ phức tạp của RegEx trong wiki | Trung bình | 6,5 |
| CVE-2025-1477 | Giới hạn tài nguyên trong tích hợp Mattermost | Trung bình | 6,5 |
| CVE-2025-5819 | Phân bổ quyền trong mã thông báo ID | Trung bình | 5.0 |
| CVE-2025-2498 | Kiểm soát truy cập trong các hạn chế IP | Thấp | Quyền không phù hợp trong API của dự án |
Vì SAP hiện được triển khai tại hơn 180 quốc gia và phục vụ hàng triệu doanh nghiệp, từ tập đoàn đa quốc gia đến cơ quan chính phủ, nên phạm vi ảnh hưởng là rất rộng. Những hệ thống chưa được vá kịp thời có thể trở thành mục tiêu ưu tiên của các nhóm tấn công mạng, đặc biệt trong bối cảnh tội phạm mạng thường săn lùng các hệ thống ERP có giá trị dữ liệu cao.
Các chuyên gia an ninh mạng khuyến cáo:
- Cập nhật ngay lập tức bản vá từ SAP, ưu tiên các máy chủ và dịch vụ trực tuyến.
- Kiểm thử trên môi trường phát triển trước khi áp dụng vào hệ thống sản xuất để tránh gián đoạn vận hành.
- Tăng cường giám sát nhật ký truy cập và luồng dữ liệu bất thường sau khi cập nhật.
- Đào tạo nhân viên IT về nhận diện và xử lý các nguy cơ liên quan đến injection.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview