SAP Patchday: Bir Kritik SQL Enjeksiyon Güvenlik Açığı ve 18 Daha

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

.

Nisan ayındaki Yama Günü'nde SAP, 19 yeni güvenlik notunda çeşitli ürünlerdeki güvenlik açıklarını ele aldı. Bunlardan biri kritik olarak kabul ediliyor ve saldırganların SQL komutları enjekte etmesine izin veriyor, diğeri ise yüksek riskli olarak değerlendiriliyor. Şirket, güvenlik ihlallerinin çoğunu orta riskli ve yalnızca ikisini düşük tehdit olarak sınıflandırdı.

Duyurudan sonra devamını okuyun

SAP'nin Nisan Yaması Salı günü genel bakışı, bireysel güvenlik açıklarını ve ilgili CVE güvenlik açığı girişlerini listeler. En ciddi olanı, yetkilendirmenin yetersiz doğrulanmasıdır. SAP iş planlaması ve konsolidasyonu hem de içeride SAP İş Ambarıkimliği doğrulanmış kullanıcıların veritabanı verilerini okumak, değiştirmek ve silmek için değiştirilmiş SQL ifadelerini çalıştırabilmesini sağlar (CVE-2026-27681, CVSS 9.9risk”eleştirmen“).

Geliştiriciler izin kontrollerinin yapılmamasının yüksek riskli olduğunu düşünüyor SAP ERP'si VE SAPS/4HANA hem özel bulutta hem de şirket içinde. Bu, kayıtlı saldırganların belirli bir ABAP raporunu yürütmesine ve ardından izinsiz olarak mevcut herhangi bir sekiz basamaklı yürütülebilir ABAP raporunun üzerine yazmasına olanak tanır. Sonuç olarak, üzerine yazılan raporlar için amaçlanan özellik artık kullanılamayabilir (CVE-2026-34256, CVSS 7.1risk”yüksek“).

Dikkate alınması gereken diğer SAP güvenlik açıkları

Ek 15 güvenlik açığı orta riskli olarak sınıflandırılmıştır. Endişeleniyorlar

  • SAP BusinessObjects İş Zekası platformu
  • SAP S/4HANA için SAP İnsan Kaynakları Yönetimi
  • SAP İş Analitiği ve SAP İçerik Yönetimi
  • SAP S/4HANA OData hizmeti (referans ekipman yönetimi)
  • SAP S/4HANA arka uç OData hizmeti (referans yapısı yönetimi)
  • SAP S/4HANA OData Ön Uç Hizmeti (Referans yapılarının yönetimi)
  • SAP Tedarikçi İlişkileri Yönetimi (SRM kataloğundaki SICF yöneticisi)
  • SAP NetWeaver Uygulama Sunucusu Java (Web Dynpro Java)
  • SAP NetWeaver Uygulama Sunucusu ABAP
  • SAP HANA Kokpiti ve HANA Veritabanı Gezgini
  • SAP S/4HANA (özel bulut ve şirket içi)
  • Malzemelerin ana uygulaması
  • SAP S/4HANA OData hizmeti (teknik nesne yapılarının yönetimi)
  • SAP BusinessObjects İş Zekası platformu

SAP ayrıca Kasım 2025 tarihli eski bir SAP S4CORE (Günlük Girişlerini Yönet) güvenlik notunu da güncelledi. Düşük riskli olarak sınıflandırılan iki güvenlik açığı, SAP NetWeaver Uygulama Sunucusu ABAP ve SAP Landscape Transformation'ı etkiliyor.

BT yöneticileri, güvenlik açığı bulunan yazılım kullanıp kullanmadıklarını kontrol etmeli ve gerekiyorsa sunulan güncellemeleri uygulamalıdır. Bu yılın Mart ayındaki SAP Yama Günü'nde SAP yöneticilerine 15 güvenlik açığını giderecek yamalar verildi. Bunlardan ikisi kritik tehdit olarak değerlendirildi.

Duyurudan sonra devamını okuyun


(Bilmiyorum)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir