CVE-2025-43010

SAP S/4HANA Cloud Private Edition or on Premise (SCM Master Data Layer (MDL)) allows an authenticated attacker with SAP standard authorization to execute a certain function module remotely and replace arbitrary ABAP programs, including SAP standard programs. This is due to lack of input validation and no authorization checks. This has low Confidentiality impact but high impact on integrity and availability to the application.

CVSS v3 8.3 HIGH

8.3^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://me.sap.com/notes/3600859
https://url.sap/sapsecuritypatchday

Configurations

No configuration.

History

13 May 2025, 19:35

Type	Values Removed	Values Added
Summary		(es) SAP S/4HANA Cloud Private Edition o en las instalaciones (SCM Master Data Layer (MDL)) permite que un atacante autenticado con autorización estándar de SAP ejecute remotamente un módulo de función específico y reemplace programas ABAP arbitrarios, incluidos los programas estándar de SAP. Esto se debe a la falta de validación de entrada y de comprobaciones de autorización. Esto tiene un bajo impacto en la confidencialidad, pero un alto impacto en la integridad y la disponibilidad de la aplicación.

13 May 2025, 01:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-05-13 01:15

Updated : 2025-05-13 19:35

NVD link : CVE-2025-43010

Mitre link : CVE-2025-43010

CVE.ORG link : CVE-2025-43010

JSON object : View

Products Affected

No product.

CWE

CWE-94

Improper Control of Generation of Code ('Code Injection')

8.3 /10