CVE-2025-26658

The Service Layer in SAP Business One, allows attackers to potentially gain unauthorized access and impersonate other users in the application to perform unauthorized actions. Due to the improper session management, the attackers can elevate themselves to higher privilege and can read, modify and/or write new data. To gain authenticated sessions of other users, the attacker must invest considerable time and effort. This vulnerability has a high impact on the confidentiality and integrity of the application with no effect on the availability of the application.

CVSS v3 6.8 MEDIUM

6.8^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://me.sap.com/notes/3561045
https://url.sap/sapsecuritypatchday

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) La capa de servicio de SAP Business One permite a los atacantes obtener acceso no autorizado y hacerse pasar por otros usuarios de la aplicación para realizar acciones no autorizadas. Gracias a la gestión incorrecta de las sesiones, los atacantes pueden obtener privilegios superiores y leer, modificar o escribir datos nuevos. Para obtener sesiones autenticadas de otros usuarios, el atacante debe invertir mucho tiempo y esfuerzo. Esta vulnerabilidad tiene un gran impacto en la confidencialidad e integridad de la aplicación, sin afectar a su disponibilidad.

11 Mar 2025, 01:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-03-11 01:15

Updated : 2026-04-15 00:35

NVD link : CVE-2025-26658

Mitre link : CVE-2025-26658

CVE.ORG link : CVE-2025-26658

JSON object : View

Products Affected

No product.

CWE

CWE-384

Session Fixation

6.8 /10