SAP S/4HANA の全リリース(プライベートクラウド/オンプレミス)が影響を受ける致命的なコードインジェクション脆弱性「CVE-2025-42957(CVSS 9.9)」が公表され、すでに実運用環境での悪用が確認されています。
脆弱性の対象バージョン
CVE-2025-42957 は SAP S/4HANA の全リリース(Private Cloud/オンプレミス) に影響します。ABAP レイヤのコードインジェクション欠陥で、対象 RFC モジュールと S_DMIS(アクティビティ 02) 権限に到達できる低権限ユーザーでも悪用可能です。
2025年8月11日の修正提供以前の状態(該当ノート未適用)で稼働している S/4HANA は、リリース年やサポートパッケージレベルに関わらず 脆弱 と見なしてください。
対策(修正)バージョン
2025年8月 Patch Day の修正(SAP Notes 3627998/3633838) を適用した各リリースが「対策バージョン」です。
オンプレミスは該当ノートを取り込み(必要に応じて最新のサポートパッケージ/カーネルを併用)、PCE は運用事業者による 8 月更新の適用完了を確認してください。
ノート適用後がベースラインとなり、あわせて UCON による RFC 制限、S_DMIS 権限の最小化、不審な RFC 呼び出し/管理者作成/ABAP 変更の監視 を恒常運用に組み込むことで実効的な防御水準に到達します。
脆弱性の概要
CVE-2025-42957 は、SAP S/4HANA における ABAP コードインジェクションの重大な脆弱性(CVSS 9.9)です。
攻撃者は、低権限アカウントでも、脆弱な RFC モジュールを通じて任意の ABAP を実行でき、ユーザー操作を伴わずネットワーク越しに悪用可能です。
必要となるのは主に S_DMIS(アクティビティ 02) 権限への到達で、成功するとアプリケーション権限の恣意的な昇格や、ケースによっては ホスト OS レベルへの到達が現実的になります。
すでに実際の悪用が確認されており、SAP は 2025 年 8 月のパッチ(セキュリティノート 3627998/3633838)で修正を提供しています。
影響範囲
影響は S/4HANA の全リリース(プライベートクラウド/オンプレミス)に及び、修正未適用の環境はバージョンや SP レベルを問わずリスク下にあります。
インターネット非公開のシステムでも、社内からの不正サインインやフィッシングで奪取された一般ユーザーを足掛かりに侵入・悪用される可能性があります。
侵害が成立すると、攻撃者は SAP データベースへの直接読み書き(取引・原価・顧客・仕訳など)、SAP_ALL を持つ管理者アカウントの作成, パスワードハッシュの取得, 業務プロセスや設定の改変といった操作が可能になり、アプリケーションの完全性・機密性・可用性が同時に損なわれます。複数システムが連携する本番環境では、他モジュールや周辺システムへの横展開も現実的です。
SAP S/4HANAの導入企業
以下のような企業が導入しています。
直近アスクル社は大規模なインシデントが発生していますが、本脆弱性が影響なのかなどはリリースや公式情報が無いため不明です。
関連記事
SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887)
-200x200.png)
SAP、ゼロデイ攻撃で悪用された脆弱性を修正(CVE-2025-42999)
SAP Financial Consolidationの緊急度の高い脆弱性を修正(CVE-2024-37177、CVE-2024-34688)
Microsoft Office(マイクロソフト オフィス) 2016/2019がサポート終了に到達 いま取るべき対応と移行先まとめ
OpenSSLが3件の脆弱性を同時公開(CVE-2025-9230 / -9231 / -9232)
SAP「10月パッチデー」で脆弱性の修正17件を公開-NetWeaver AS JavaのCVSS 10.0を最優先に(CVE-2025-42944)
が悪用、CISAがKEVデータベースに追加-200x200.png)
SAP NetWeaverのゼロデイ脆弱性(CVE-2025-31324)が悪用、CISAがKEVデータベースに追加
EDR 製品 比較 9選 製品タイプや導入時の注意点も解説
NEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も
