Onderzoekers van cybersecurity hebben gedetailleerd twee nu afgestemde beveiligingsfouten in SAP Graphical User Interface (GUI) voor Windows en Java die, indien met succes benutten, aanvallers in staat had kunnen hebben om onder bepaalde voorwaarden toegang te krijgen tot gevoelige informatie.
De kwetsbaarheden, gevolgd als CVE-2025-0055 en CVE-2025-0056 (CVSS-scores: 6.0), werden door SAP gepatcht als onderdeel van de maandelijkse updates voor januari 2025.
“Het onderzoek ontdekte dat SAP GUI -inputgeschiedenis onecurly is opgeslagen, zowel in de Java- als Windows -versies,” zei Pathlock -onderzoeker Jonathan Stross in een rapport gedeeld met het Hacker News.
Met SAP GUI -gebruikersgeschiedenis hebben gebruikers toegang tot eerder ingevoerde waarden in invoervelden met als doel tijd te besparen en fouten te verminderen. Deze historische informatie wordt lokaal op apparaten opgeslagen. Dit kan gebruikersnamen, nationale ID’s, sofi -nummers (SSN’s), bankrekeningnummers en interne SAP -tabelnamen omvatten.
De kwetsbaarheden die door Pathlock worden geïdentificeerd, zijn geworteld in deze functie voor invoergeschiedenis, waardoor een aanvaller met administratieve privileges of toegang tot de gebruikersmap van het slachtoffer op het besturingssysteem mogelijk is om toegang te krijgen tot de gegevens in een vooraf gedefinieerde directory op basis van de SAP GUI -variant.
- SAP GUI voor Windows – %AppData % Locallow Sapgui Cache History Saphistory
.db - SAP GUI voor Java – %AppData % locallow sapgui cache geschiedenis of $ home/.sapgui/cache/geschiedenis (Windows of Linux) en $ home/bibliotheek/voorkeuren/sap/cache/geschiedenis (macOS)
Het probleem is dat de ingangen worden opgeslagen in het databasebestand met behulp van een zwak XOR-gebaseerd coderingschema in het geval van SAP GUI voor Windows, waardoor ze triviaal zijn om met minimale inspanning te decoderen. SAP GUI voor Java slaat deze historische inzendingen op een niet -gecodeerde manier op als Java -geserialiseerde objecten.
Dientengevolge kan de bekendgemaakte informatie, afhankelijk van de input van de gebruikers, alles tussen niet-kritieke gegevens op zeer gevoelige gegevens bevatten, waardoor de vertrouwelijkheid van de toepassing wordt beïnvloed.
“Iedereen met toegang tot de computer kan mogelijk toegang krijgen tot het geschiedenisbestand en alle gevoelige informatie die het opslaat,” zei Stross. “Omdat de gegevens lokaal en zwak worden opgeslagen (of helemaal niet) gecodeerde, exfiltratie door HID -injectieaanvallen (zoals USB Rubber Ducky) of phishing wordt een echte bedreiging.”
Om mogelijke risico’s die verband houden met informatie -openbaarmaking te verminderen, wordt geadviseerd om de functionaliteit van de invoergeschiedenis uit te schakelen en bestaande database of geserialiseerde objectbestanden uit de bovengenoemde mappen te verwijderen.
Citrix Patches CVE-2025-5777
De openbaarmaking komt als Citrix een kritiek beoordeelde beveiligingsfout in NetScaler (CVE-2025-5777, CVSS-score: 9.3) heeft gepatcht: 9.3) die door bedreigingsacteurs kan worden benut om toegang te krijgen tot gevoelige apparaten.
De tekortkoming komt voort uit onvoldoende invoervalidatie die niet -geautoriseerde aanvallers in staat kan stellen om geldige sessietokens uit geheugen te halen via misvormde verzoeken, waardoor authenticatiebescherming effectief wordt omzeild. Dit werkt echter alleen wanneer NetScaler wordt geconfigureerd als een gateway of AAA virtuele server.
De kwetsbaarheid is door beveiligingsonderzoeker Kevin Beaumont Citrix Bleed 2 geweest, vanwege zijn overeenkomsten met CVE-2023-4966 (CVSS-score: 9.4), die twee jaar geleden onder actieve uitbuiting in het wild kwam.
Het is in de volgende versies aangepakt –
- NetScaler ADC en NetScaler Gateway 14.1-43.56 en later releases
- NetScaler ADC en NetScaler Gateway 13.1-58.32 en latere releases van 13.1
- NetScaler ADC 13.1-FIPS en 13.1-NDCPP 13.1-37.235 en latere releases van 13.1-FIPS en 13.1-NDCPPPPP
- NetScaler ADC 12.1-FIPS 12.1-55.328 en latere releases van 12.1-FIPS
Veilige privé-toegang on-prem of veilige privé-toegang hybride implementaties met behulp van NetScaler-instanties worden ook beïnvloed door de kwetsbaarheden. Citrix beveelt aan om gebruikers de volgende opdrachten uit te voeren om alle actieve ICA- en PCOIP -sessies te beëindigen nadat alle NetScaler -apparaten zijn opgewaardeerd –
kill icaconnection -all kill pcoipConnection -all
Het bedrijf dringt er ook bij klanten van NetScaler ADC- en NetScaler Gateway -versies 12.1 en 13.0 op aan om naar een ondersteuningsversie te gaan omdat ze nu einde van het leven (EOL) zijn en niet langer ondersteund.
Hoewel er geen bewijs is dat de fout is bewapend, zei Wachttowr -CEO Benjamin Harris dat het “alle dozen controleert” op de interesse van de aanvaller en die uitbuiting om de hoek zou kunnen zijn.
“CVE-2025-5777 wordt zo serieus als Citrixbleed, een kwetsbaarheid die de schade veroorzaakte voor eindgebruikers van Citrix NetScaler-apparaten in 2023 en daarna de eerste inbreukvector voor tal van high-profile incidenten,” Benjamin Harris, CEO bij Water, CEO bij Hacker News.
“De details rond CVE-2025-5777 zijn rustig verschoven sinds de initiële openbaarmaking, met vrij belangrijke voorwaarden of beperkingen die worden verwijderd uit de NVD CVE-beschrijving-met name de opmerking dat deze kwetsbaarheid was in de minder blootgestelde managementinterface, is verwijderd dat deze kwetsbaarheid aanzienlijk meer is dan de eerste significant.”
