SAP Patchday: Yıl sonunda 14 güvenlik uyarısı

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

.

SAP, yılın son yama gününde 14 yeni güvenlik önerisi yayınladı. Bunlardan bazıları kurumsal yazılım güvenliğindeki kritik boşlukları ele alıyor. Yöneticiler mevcut güncellemeleri hızlı bir şekilde uygulamalıdır.

Duyurudan sonra devamını okuyun

SAP'ye genel bakış, bireysel güvenlik önerilerini ve etkilenen ürünleri listeler. Kritik risk olarak sınıflandırılan üç güvenlik sızıntısı öne çıkıyor. Giriş filtrelemesinin olmaması nedeniyle kayıtlı kullanıcılar, uzaktan erişim etkinleştirilmiş bir formu çağırırken kötü amaçlı kod ekleyebilirler. Bu, etkilenen SAP Çözüm Yöneticilerinin (CVE-2025-42880, CVSS) tam olarak edinilmesini sağlar 9.9risk”eleştirmen“). SAP Commercial Cloud'a dahil olan Apache Tomcat sunucusu ayrıca, bazıları kritik riskler olarak sınıflandırılan çeşitli güvenlik kusurları da içerir (CVE-2025-55754, CVSS) 9.6risk”eleştirmen“, ayrıca CVE-2025-55752, kendi CVSS sınıflandırması olmadan.) SAP ayrıca, yükseltilmiş ayrıcalıklara sahip saldırganların, rastgele kötü amaçlı kodları uzaktan yürütmek için SAP jConnect'teki seri durumdan çıkarma kusurunu kötüye kullanabileceği konusunda uyarıyor (CVE-2025-42928, CVSS) 9.1risk”eleştirmen“).

Güvenlik uyarılarına genel bakış

BT yöneticileri, güvenlik açığı bulunan ürünleri kullanıp kullanmadıklarını kontrol etmeli ve gerekiyorsa güncellemeleri hızlı bir şekilde yüklemelidir. Ayrıntılı güvenlik notları:

  • SAP Solution Manager'da Kod Ekleme Güvenlik Açığı (CVE-2025-42880, CVSS) 9.9risk”eleştirmen“)
  • SAP Commerce Cloud içindeki Apache Tomcat'te birden fazla güvenlik açığı (CVE-2025-55754, CVSS) 9.6eleştirmen“ve ayrıca CVE-2025-55752)
  • SAP jConnect – ASE için SDK'da Seriden Çıkarma Güvenlik Açığı (CVE-2025-42928, CVSS) 9.1eleştirmen“)
  • SAP Web Dispatcher ve Internet Communication Manager'da (ICM) Hassas Verilerin Açığa Çıkması (CVE-2025-42878, CVSS) 8.2yüksek“)
  • SAP NetWeaver'da (Xcelsius için Uzaktan Hizmet) Hizmet Reddi (DOS) (CVE-2025-42874, CVSS) 7.9yüksek“)
  • SAP Business Objects'te Hizmet Reddi (DOS) (CVE-2025-48976, CVSS) 7.5yüksek“)
  • SAP Web Dispatcher, Internet Communication Manager ve SAP Content Server'daki bellek bozulması güvenlik açığı (CVE-2025-42877, CVSS) 7.5yüksek“)
  • SAP S/4 HANA (Finansal Genel Muhasebe) Özel Bulutunda (CVE-2025-42876, CVSS) Eksik Yetki Kontrolü 7.1yüksek“)
  • SAP NetWeaver Internet Communication Framework'te eksik kimlik doğrulama kontrolü (CVE-2025-42875, CVSS) 6.6orta“)
  • ABAP Uygulama Sunucusunda Bilginin Açığa Çıkması Güvenlik Açığı (CVE-2025-42904, CVSS) 6.5orta“)
  • SAP NetWeaver Enterprise Portal'da Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı (CVE-2025-42872, CVSS) 6.1orta“)
  • SAPUI5 çerçevesinde Hizmet Reddi (DoS) (Markdown-it bileşeni) (CVE-2025-42873, CVSS) 5.9orta“)
  • ABAP için SAP Enterprise Search'te eksik yetkilendirme kontrolü (CVE-2025-42891, CVSS) 5.5orta“)
  • SAP BusinessObjects Business Intelligence Platform'da (CVE-2025-42896, CVSS) Sunucu Tarafı İstek Sahteciliği (SSRF) 5.4orta“)

SAP'nin Kasım Yama Günü, BT yöneticilerine güvenlik açıklarını gidermeye yönelik 18 güvenlik önerisi ve ilgili yamaları getirdi. Bunlardan ikisi kritik risk olarak kabul edildi, hatta biri CVSS 10'un maksimum değerine ulaştı.


(Bilmiyorum)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir