- SAP’nin Aralık güncellemesi, önemli ürünlerdeki üç kritik güvenlik açığı da dahil olmak üzere 14 kusuru düzeltti
- SAP Solution Manager’daki CVE‑2025‑42880 (9.9), kod eklemeye ve tam sistem uzlaşmasına olanak tanır
- Apache Tomcat’teki CVE‑2025‑55754 (9.6) ve SAP jConnect’teki CVE‑2025‑42928 (9.1), belirli koşullar altında uzaktan kod yürütülmesine olanak sağlar
SAP, farklı ürünlerde bulunan 14 güvenlik açığını düzelttiği Aralık ayı toplu güvenlik güncellemesini yayınladı. Bunların arasında gecikmeden ele alınması gereken üç kritik önemdeki kusur vardır.
Giderilen güvenlik açıklarının tam listesini şu adreste bulabilirsiniz: bu bağlantı.
Bu sefer düzeltilen en kritik hata, uygulama yaşam döngüsü yönetimi, sistem izleme ve BT hizmet yönetimi için güncellenmiş araçlar sağlayan SAP Solution Manager 7.2’nin belirli bir destek paketi yığın düzeyi olan SAP Solution Manager ST 720’de keşfedilen kod yerleştirme güvenlik açığıdır.
SAP E-ticaret Bulutu etkilendi
Hata CVE-2025-42880 olarak izlendi ve 9,9/10 (kritik) önem puanı verildi.
“Giriş temizliğinin eksik olması nedeniyle SAP Solution Manager, kimliği doğrulanmış bir saldırganın giriş kötü amaçlı kod CVE kaydı şöyle açıklıyor: “Uzaktan etkinleştirilmiş bir işlev modülünü çağırırken bu, saldırganın sistem üzerinde tam kontrol sahibi olmasını sağlayabilir ve dolayısıyla sistemin gizliliği, bütünlüğü ve kullanılabilirliği üzerinde büyük bir etkiye yol açabilir.”
İkinci en büyük kusur ise Apache Tomcat’te SAP Commerce Cloud bileşenlerini etkileyen kaçış, meta veya kontrol dizileri hatasının uygunsuz şekilde etkisiz hale getirilmesidir. CVE-2025-55754 olarak izlenmektedir ve ciddiyet puanı 9,6/10’dur (kritik).
CVE sayfasında “Tomcat, günlük iletilerindeki ANSI kaçış dizilerinden kaçamadı” yazıyor. “Tomcat bir Windows konsolunda çalışıyorsa işletim sistemive konsolun ANSI kaçış dizilerini desteklediği durumlarda, bir saldırganın özel hazırlanmış bir URL kullanarak ANSI kaçış dizilerini enjekte ederek konsolu ve panoyu manipüle etmesi ve yöneticiyi saldırgan tarafından kontrol edilen bir komutu çalıştırması için kandırmaya çalışması mümkündü.”
Öneride ayrıca bilinen bir saldırı vektörünün bulunmadığı ancak bu saldırının diğer işletim sistemlerine de uygulanmasının mümkün olabileceği belirtiliyor.
Üçüncüsü, SAP jConnect’teki seri durumdan çıkarma hatasıdır ve yüksek ayrıcalıklı kullanıcıların, yalnızca belirli koşullar karşılandığında kötü amaçlı kodu uzaktan yürütmesine olanak tanır. Bu hata CVE-2025-42928 olarak izlendi ve 9,1/10 (kritik) önem puanı verildi.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.