- SAP Solution Manager’daki CVE-2025-42887, kimliği doğrulanmamış kod eklemeye ve tüm sistemi devralmaya izin veriyor
- Güvenlik açığı puanı 9,9/10; SAP’nin Kasım 2025 güncellemesinde yayınlanan yama
- SAP ayrıca SQL Anywhere Monitor’deki 10/10’luk bir kusur olan CVE-2024-42890’ı da düzeltti
On binlerce kullanıcı organizasyonuna sahip bir uygulama yaşam döngüsü yönetimi (ALM) platformu olan SAP Solution Manager, tehdit aktörlerinin güvenliği ihlal edilen yazılımları tamamen ele geçirmesine olanak tanıyan kritik önemde bir güvenlik açığı taşıyordu uç noktalaruzmanlar uyardı.
Kusuru bulduktan sonra SAP’ye bildirimde bulunan güvenlik araştırmacısı SecurityBridge, kimliği doğrulanmamış tehdit aktörlerinin sisteme giriş yapmasına izin veren “eksik giriş temizliği” güvenlik açığı olarak tanımladı. kötü amaçlı kod uzaktan etkinleştirilmiş bir işlev modülünü çağırırken.
Ulusal Güvenlik Açığı Veritabanı (NVD), “Bu, saldırgana sistemin tam kontrolünü sağlayabilir ve dolayısıyla sistemin gizliliği, bütünlüğü ve kullanılabilirliği üzerinde yüksek etkiye yol açabilir” dedi.
SAP 10/10’luk bir hatayı düzeltti
Hata şu anda CVE-2025-42887 olarak izleniyor ve 9,9/10 (kritik) önem puanına sahip.
Artık bir yama halka açık durumda ve SAP kullanıcıları daha önce bilgilendirilmiş olsa da araştırmacılar bir kez daha herkesi bu yamayı mümkün olan en kısa sürede uygulamaya çağırıyor çünkü risk gelecekte daha da artacak:
SecurityBridge duyurusunda, “Bu güvenlik açığı için, tersine mühendisliği hızlandırabilecek ve geliştirmeyi istismar edebilecek genel bir yama bugün yayınlandı, bu nedenle yakın zamanda yama yapılması tavsiye edilir” dedi.
SecurityBridge Güvenlik Araştırması Direktörü Joris van de Vis, “Öncelik derecesi 10 üzerinden 9,9 olan bir güvenlik açığı keşfettiğimizde, saldırganlara tam sistem kontrolü verebilecek bir tehdide baktığımızı biliyoruz” dedi.
“CVE-2025-42887 özellikle tehlikelidir çünkü düşük ayrıcalıklı bir kullanıcıdan kod enjekte edilmesine izin verir, bu da SAP’nin güvenliğinin ihlaline ve SAP sisteminde yer alan tüm verilere yol açar. SAP Solution Manager’daki bu kod ekleme güvenlik açığı, Tehdit Araştırma Laboratuvarlarımızın yorulmadan tanımlamak ve ortadan kaldırmak için yorulmadan çalıştığı türden kritik saldırı yüzeyi zayıflığını tam olarak temsil eder. SAP sistemleri iş operasyonlarının omurgasıdır ve bunun gibi güvenlik açıkları bize proaktif güvenlik araştırmasının neden gerekli olduğunu hatırlatır. pazarlık konusu olamaz.”
Güvenlik açığı, SAP’nin Kasım Yama Günü’nün bir parçası olarak giderildi; bu güncelleme, 18 yeni hatayı ve daha önce gözlemlenen iki hatayı ele alan toplu bir güncellemedir. SAP, yukarıda bahsedilenin yanı sıra, SQL Anywhere Monitor’ün GUI olmayan versiyonundaki 10/10’luk bir kusuru da düzeltti. Bu hata CVE-2024-42890 olarak izleniyor ve sabit kodlanmış kimlik bilgilerinin başka bir durumudur.
Açıklamada “SQL Anywhere Monitor (GUI olmayan), kimlik bilgilerini koda ekleyerek kaynakları veya işlevleri istenmeyen kullanıcılara açık hale getiriyor ve saldırganlara rastgele kod yürütme olanağı sağlıyor” ifadesine yer veriliyor. SQL Anywhere Monitor, bir veritabanı izleme ve uyarı aracıdır ve SQL Anywhere paketinin bir parçasıdır.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.