SAP近日發布了2025年8月的「補丁週二」（Patch Tuesday）安全更新，其中包含15個新的安全公告和4個針對舊版補丁的更新，總計修復了超過十多個漏洞，以應對日益嚴峻的資安威脅。這次修補的重點之一，是針對SAP S/4HANA企業資源規劃（ERP）軟體中的兩個關鍵漏洞。這些漏洞被專業資安公司Onapsis分類為「熱點新聞」（hot news）或「關鍵」（critical），其嚴重性不容忽視。

根據Onapsis的分析，這兩個編號分別為CVE-2025-42950和CVE-2025-42957的漏洞，本質上是相同的程式碼注入問題，但因影響的產品不同而被賦予了不同的CVE編號。其中，CVE-2025-42957與SAP S/4HANA相關，而CVE-2025-42950則影響舊版ERP軟體ECC。惡意攻擊者若成功利用這些漏洞，將能夠執行任意程式碼，進而導致系統遭到全面入侵。這對於高度依賴SAP系統處理關鍵業務數據的企業來說，無疑是一項重大風險。

除了上述的關鍵漏洞外，本次更新還修補了其他高優先級的安全問題。例如，SAP Business One中的一個授權破損問題（CVE-2025-42951），可能讓經過驗證的攻擊者取得管理員權限；以及NetWeaver應用伺服器ABAP中的多個記憶體損壞漏洞（CVE-2025-42976），這些漏洞可能導致敏感資訊洩漏。這些修補措施涵蓋了多個SAP產品，包括NetWeaver、ABAP平台、Cloud Connector等，顯示SAP正全面應對其軟體生態系統中的潛在風險。

在當今的網路環境中，威脅行為者越來越傾向於利用已知的軟體漏洞進行攻擊。SAP在發布此次補丁之前，曾警告客戶一個在4月修補的NetWeaver零時差漏洞，自1月以來已被攻擊者利用。此外，近期也有勒索軟體集團和網路間諜組織利用NetWeaver的漏洞發動攻擊的案例，這使得企業及時安裝最新的安全補丁變得至關重要。Onapsis強調，企業應將此次更新視為一項緊急任務，立即部署相關修補程式，以防止成為下一個受害者。

對於台灣企業而言，SAP系統是其營運的核心骨幹，涵蓋了財務、供應鏈、人力資源等各個方面。因此，任何系統漏洞都可能對企業的正常運作和數據安全造成毀滅性打擊。台灣應用軟體的用戶應密切關注SAP官方發布的安全公告，並建立一套完善的修補管理機制。這不僅包括定期檢查和安裝補丁，還應涵蓋漏洞掃描、風險評估和應急響應計劃。透過主動的資安防護措施，才能有效降低被攻擊的風險，確保企業的資訊資產安全。

此次SAP的補丁更新，再次提醒所有企業，資安防護是一個持續不斷的過程。面對不斷演變的網路威脅，企業不能僅僅依賴被動的防禦，而必須主動出擊，確保所有軟體和系統都保持在最新的安全狀態。特別是對於像SAP這樣廣泛應用的企業軟體，任何一個漏洞的出現都可能引發連鎖反應。企業應將資安投資視為維護業務連續性和客戶信任的關鍵環節，從而建立一個更加堅韌和安全的數位化營運環境。

總結來說，SAP於2025年8月發布的關鍵安全補丁，對於全球尤其是台灣的SAP用戶而言，是保護其核心業務系統不受威脅的重要一環。企業應立即採取行動，更新受影響的軟體，並加強整體的資安管理。這樣才能有效應對潛在的網路攻擊，確保企業在數位化轉型的道路上穩健前行。

資料來源：https://www.securityweek.com/sap-patches-critical-s-4hana-vulnerability/