Platform
sap
Component
sap-business-objects-business-intelligence-platform
Opgelost in
430.0.1
2025.0.1
2027.0.1
CVE-2025-42988 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in SAP Business Objects Business Intelligence Platform. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om interne HTTP-endpoints te identificeren door speciaal opgebouwde HTTP-verzoeken te sturen. Hoewel de integriteit en beschikbaarheid van de applicatie niet direct worden aangetast, kan deze informatieverstrekking verder misbruikt worden voor SSRF-aanvallen. De kwetsbaarheid treft versies van SAP Business Objects Business Intelligence Platform tot en met ENTERPRISE 430, en is verholpen in versie 430.0.1.
Een succesvolle exploitatie van CVE-2025-42988 kan een aanvaller in staat stellen interne netwerkdiensten te identificeren en mogelijk te benaderen die anders niet toegankelijk zouden zijn. Door het opnoemen van interne HTTP-endpoints kan de aanvaller gevoelige informatie blootleggen, zoals interne configuratiebestanden of API-sleutels. Vervolgens kan deze informatie gebruikt worden om een SSRF-aanval uit te voeren, waarbij de applicatie wordt misleid om verzoeken naar interne of externe bronnen te sturen, wat kan leiden tot verdere datalekken of ongeautoriseerde toegang. Hoewel de impact op integriteit en beschikbaarheid als laag wordt beschouwd, vormt de mogelijkheid tot informatieverstrekking een aanzienlijk risico.
CVE-2025-42988 is openbaar bekend gemaakt op 2025-06-10. Er is momenteel geen publieke proof-of-concept (POC) beschikbaar, maar de SSRF-natuur van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst POC's zullen verschijnen. De KEV-status is momenteel onbekend. De CVSS score van 3.7 (LOW) duidt op een relatief lage waarschijnlijkheid van actieve exploitatie, maar de mogelijkheid tot informatieverstrekking blijft een punt van zorg.
Organizations utilizing SAP Business Objects Business Intelligence Platform, particularly those with complex internal network architectures and limited network segmentation, are at increased risk. Shared hosting environments where multiple tenants share the same infrastructure could also be vulnerable if the platform is deployed in a multi-tenant configuration.
• java / server:
# Monitor access logs for requests to internal endpoints originating from the SAP Business Objects platform.
# Example (assuming Apache access logs): grep "SAP Business Objects" /var/log/apache2/access.log | grep "internal_endpoint"• generic web:
# Use curl to probe for potential internal endpoints. This is a manual check, not automated.
curl -v http://<SAP_Business_Objects_IP>/internal_endpointdisclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-42988 is het upgraden van SAP Business Objects Business Intelligence Platform naar versie 430.0.1 of hoger. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van Web Application Firewall (WAF) regels om verdachte HTTP-verzoeken te blokkeren die gericht zijn op interne endpoints. Daarnaast kan het configureren van netwerksegmentatie en het beperken van de toegang tot interne diensten de potentiële impact van een succesvolle exploitatie verminderen. Controleer de SAP Security Notes voor specifieke aanbevelingen en configuratie-updates.
Pas de beveiligingsupdates toe die door SAP worden geleverd voor Business Objects Business Intelligence Platform. Raadpleeg SAP-nota 3585545 voor gedetailleerde informatie over de update en de getroffen versies. Het wordt aanbevolen om uitgebreide tests uit te voeren in een staging-omgeving voordat de update in productie wordt toegepast.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-42988 is a Server-Side Request Forgery (SSRF) vulnerability in SAP Business Objects Business Intelligence Platform allowing unauthenticated attackers to enumerate internal HTTP endpoints.
You are affected if you are running SAP Business Objects Business Intelligence Platform versions up to and including Enterprise 430.
Upgrade to SAP Business Objects Business Intelligence Platform version 430.0.1 or later. Consider network segmentation and WAF rules as interim measures.
There is no confirmed active exploitation as of the last update, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official SAP Security Notes for details and updates regarding CVE-2025-42988. Check the SAP Support Portal for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.