無料スキャン

このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-42895CVSS 6.9

CVE-2025-42895: Code Loading in SAP HANA JDBC Client

プラットフォーム

java

コンポーネント

sap-hana-jdbc-client

修正版

2.0.1

NVDで見る
保存
あなたの言語に翻訳中…

CVE-2025-42895 affects the SAP HANA JDBC Client, specifically versions 2.0–HDB_CLIENT 2.0. This vulnerability stems from insufficient validation of connection property values, enabling a local, high-privilege user to potentially load unauthorized code. The impact primarily affects the availability of the application, though confidentiality and integrity are also at risk. The vulnerability was published on November 11, 2025, and a fix is available in version 2.0.1.

Java / Maven

このCVEがあなたのプロジェクトに影響するか確認

pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。

pom.xml をアップロード対応フォーマット: pom.xml · build.gradle

影響と攻撃シナリオ翻訳中…

An attacker exploiting CVE-2025-42895 could leverage their high-privilege local access to craft malicious connection property parameters. These parameters, due to the lack of proper validation, could be used to load arbitrary code into the SAP HANA JDBC Client process. Successful exploitation could lead to a denial-of-service (DoS) condition, rendering the application unavailable. While the direct impact on confidentiality and integrity is considered low, the ability to execute code within the client process opens the door to further attacks, potentially allowing an attacker to escalate privileges or exfiltrate sensitive data stored within the SAP HANA database. The blast radius extends to any application relying on the vulnerable JDBC client to connect to the SAP HANA database.

悪用の状況翻訳中…

The exploitation context for CVE-2025-42895 is currently unclear. No public proof-of-concept (POC) code has been released. The vulnerability's severity is rated as medium, suggesting a moderate probability of exploitation. It is not listed on the KEV catalog or EPSS. Further monitoring of security advisories and threat intelligence feeds is recommended to assess the evolving risk.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:H6.9MEDIUMAttack VectorLocal攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredHigh攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ローカル — システム上のローカルセッションまたはシェルが必要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
高 — 管理者または特権アカウントが必要。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントsap-hana-jdbc-client
ベンダーSAP_SE
最小バージョン2.0
最大バージョンHDB_CLIENT 2.0
修正版2.0.1

弱点分類 (CWE)

CWE-94

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策翻訳中…

The primary mitigation for CVE-2025-42895 is to upgrade the SAP HANA JDBC Client to version 2.0.1 or later. If an immediate upgrade is not feasible, consider implementing stricter access controls to limit the privileges of local users. Review and restrict connection property configurations to prevent the injection of malicious parameters. While a direct WAF rule is unlikely to be effective, monitoring network traffic for unusual connection attempts or code loading activity could provide early warning signs. After upgrading, confirm the fix by attempting to establish a connection with crafted parameters known to trigger the vulnerability; the connection should fail with an appropriate error message.

修正方法翻訳中…

Actualice el SAP HANA JDBC Client a la última versión disponible proporcionada por SAP. Consulte la nota SAP 3643385 para obtener más detalles e instrucciones específicas sobre la actualización.

よくある質問翻訳中…

What is CVE-2025-42895 — Code Loading in SAP HANA JDBC Client?

CVE-2025-42895 is a medium severity vulnerability in the SAP HANA JDBC Client (versions 2.0–HDB_CLIENT 2.0) that allows a local, high-privilege user to load unauthorized code due to insufficient validation, impacting application availability.

Am I affected by CVE-2025-42895 in SAP HANA JDBC Client?

You are affected if you are using SAP HANA JDBC Client versions 2.0–HDB_CLIENT 2.0. Check your system's version and upgrade if necessary.

How do I fix CVE-2025-42895 in SAP HANA JDBC Client?

Upgrade the SAP HANA JDBC Client to version 2.0.1 or later to resolve the vulnerability. If immediate upgrade is not possible, restrict access controls and review connection property configurations.

Is CVE-2025-42895 being actively exploited?

Currently, there is no public evidence of active exploitation. However, the vulnerability's severity warrants ongoing monitoring and proactive mitigation.

Where can I find the official SAP advisory for CVE-2025-42895?

Refer to the official SAP Security Notes and Advisories for detailed information and guidance regarding CVE-2025-42895. Check the SAP Support Portal for the latest updates.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
Java / Maven

このCVEがあなたのプロジェクトに影響するか確認

pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。

pom.xml をアップロード対応フォーマット: pom.xml · build.gradle
scanZone.liveBadgescanZone.eyebrow

Java / Mavenプロジェクトを今すぐスキャン — アカウント不要

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...