CVE-2025-42993

Due to a missing authorization check vulnerability in SAP S/4HANA (Enterprise Event Enablement), an attacker with access to the Inbound Binding Configuration could create an RFC destination and assign an arbitrary high-privilege user. This allows the attacker to consume events via the RFC destination, leading to code execution under the privileges of the assigned high-privilege user. While the vulnerability has a low impact on Availability, it significantly poses a high risk to both Confidentiality and Integrity.

CVSS v3 6.7 MEDIUM

6.7^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.2 / Impact : 5.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required HIGH

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact LOW

Scope UNCHANGED

References

Link	Resource
https://me.sap.com/notes/3580384
https://url.sap/sapsecuritypatchday

Configurations

No configuration.

History

12 Jun 2025, 16:06

Type	Values Removed	Values Added
Summary		(es) Debido a una vulnerabilidad de falta de comprobación de autorización en SAP S/4HANA (Enterprise Event Enablement), un atacante con acceso a la configuración de enlace entrante podría crear un destino RFC y asignar un usuario arbitrario con privilegios altos. Esto le permite consumir eventos a través del destino RFC, lo que provoca la ejecución de código con los privilegios del usuario con privilegios altos asignado. Si bien la vulnerabilidad tiene un impacto bajo en la disponibilidad, representa un riesgo significativo tanto para la confidencialidad como para la integridad.

10 Jun 2025, 01:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-06-10 01:15

Updated : 2025-06-12 16:06

NVD link : CVE-2025-42993

Mitre link : CVE-2025-42993

CVE.ORG link : CVE-2025-42993

JSON object : View

Products Affected

No product.

CWE

CWE-862

Missing Authorization

6.7 /10