SAP, Salı günü aylık yama gününü kutladı ve 18 yeni güvenlik önerisi yayınladı. Bunlardan ikisi, Walldorf geliştiricilerinin kritik güvenlik riski olarak sınıflandırdığı güvenlik kusurlarını içeriyor; maksimum CVSS 10'a bile ulaşıldı.
Duyurudan sonra devamını okuyun
Kasım yama günü genel bakış sayfasında SAP, etkilenen ürünleri güvenlik açıklarının kısa bir açıklamasıyla özetliyor. SQL Anywhere Monitor'de (GUI olmayan) anahtarların ve gizli dizilerin güvenli olmayan yönetimini etkileyen bir güvenlik açığı bulunmaktadır (CVE-2025-42890, CVSS 10.0“Risk”eleştirmen“). CVE girişi, oturum açma verilerinin koda sıkı bir şekilde bağlı olduğunu belirtir ve bu da sonuçta enjekte edilen kötü amaçlı kodun yürütülmesine yol açabilir.
Ayrıca kayıtlı saldırganlar SAP Solution Manager'a (CVE-2025-42887, CVSS) kötü amaçlı kod ekleyebilir. 9.9“Risk”eleştirmen“). Açıklamaya göre bu, girişlerin kontrol ve filtreleme eksikliğinden kaynaklanmaktadır. Bu, ağdan işlevsel bir modül çağrıldığında ortaya çıkar ve saldırganların sistemin tam kontrolünü ele geçirebileceği artan erişim haklarına yol açar. Son olarak SAP CommonCryptoLib'de (CVE-2025-42940, CVSS) bellek erişim açığı vardır. 7.5“Risk”yüksekGüvenlik açığı açıklamasında, saldırganların manipüle edilmiş paketler kullanarak yazılımın çökmesine ve dolayısıyla hizmet reddine neden olabileceği belirtiliyor.
Daha az ciddi olan diğer güvenlik açıkları
Diğer güvenlik bildirimleri daha az ciddi güvenlik açıklarıyla ilgilidir. Yöneticiler yine de güvenlik açığı bulunan örnekleri çalıştırıp çalıştırmadıklarını kontrol etmeli ve bir sonraki bakım penceresinde güncellemeleri yüklemelidir.
- SAP HANA JDBC İstemcisinde Kod Ekleme Güvenlik Açığı, CVE-2025-42895, CVSS 6.9“Risk”orta“
- SAP Business Connector'da İşletim Sistemi Komut Ekleme Güvenlik Açığı, CVE-2025-42892, CVSS 6.8“orta“
- SAP Business Connector'da Yol Geçişi Güvenlik Açığı, CVE-2025-42894, CVSS 6.8“orta“
- SAP NetWeaver Enterprise Portal'da JNDI Enjeksiyon Güvenlik Açığı, CVE-2025-42884, CVSS 6.5“orta“
- SAP S/4HANA Ortamında (SAP E-Recruiting BSP), CVE-2025-42924, CVSS'de Açık Yönlendirme Güvenlik Açığı 6.1“orta“
- SAP Business Connector'da Açık Yönlendirme Güvenlik Açığı, CVE-2025-42893, CVSS 6.1“orta“
- SAP Business Connector, CVE-2025-42886, CVSS'ye Yansıyan Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı 6.1“orta“
- SAP HANA 2.0 (hdbrss), CVE-2025-42885, CVSS'de Kimlik Doğrulaması Eksik 5.8“orta“
- Windows için SAP GUI Bilgilerinin Açıklanması Güvenlik Açığı, CVE-2025-42888, CVSS 5.5“orta“
- SAP Starter Solution'da (PL SAFT) SQL Enjeksiyon Güvenlik Açığı, CVE-2025-42889, CVSS 5.4“orta“
- SAP NetWeaver Uygulama Sunucusunda Java Bilgilerinin Açıklanması Güvenlik Açığı, CVE-2025-42919, CVSS 5.3“orta“
- SAP Business One'da (SLD) Bilgi Açıklama Güvenlik Açığı, CVE-2025-42897, CVSS 5.3“orta“
- SAP S4CORE (Yevmiye Girişi Yönetimi), CVE-2025-42899, CVSS'de Eksik Yetki Kontrolü 4.3“orta“
- ABAP için SAP NetWeaver Uygulama Sunucusunda eksik yetkilendirme kontrolü, CVE-2025-42882CVSS 4.3“orta“
- ABAP için SAP NetWeaver Uygulama Sunucusunda Güvenli Olmayan Dosya İşlemleri Güvenlik Açığı (Migration Workbench), CVE-2025-42883, CVSS 2.7“Bas“
SAP'nin Ekim ayındaki yama günü, 13 güvenlik duyurusu nedeniyle gözle görülür derecede daha az kapsamlıydı. Geliştiriciler güvenlik açıklarından üçünü kritik olarak sınıflandırdı.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın