SAP, üç kritik önem derecesine sahip kusur da dahil olmak üzere bir dizi üründeki 14 güvenlik açığını ele alan Aralık ayı güvenlik güncellemelerini yayınladı.
Tüm sorunların en ciddisi (CVSS puanı: 9,9), SAP Solution Manager ST 720'yi etkileyen bir kod ekleme sorunu olan CVE-2025-42880'dir.
Kusurun açıklamasında "Eksik giriş temizliği nedeniyle SAP Solution Manager, kimliği doğrulanmış bir saldırganın uzaktan etkinleştirilmiş bir işlev modülünü çağırırken kötü amaçlı kod eklemesine izin veriyor" yazıyor.
"Bu, saldırganın sistem üzerinde tam kontrol sahibi olmasını sağlayabilir ve dolayısıyla sistemin gizliliği, bütünlüğü ve kullanılabilirliği üzerinde yüksek etkiye yol açabilir."
SAP Solution Manager, kuruluşlar tarafından sistem izleme, teknik konfigürasyon, olay ve hizmet masası, dokümantasyon merkezi ve test yönetimi için kullanılan satıcının merkezi yaşam döngüsü yönetimi ve izleme platformudur.
SAP'nin bu ay düzelttiği bir sonraki en ciddi kusur, HY_COM 2205, COM_CLOUD 2211 ve COM_CLOUD 2211-JDK21 sürümlerindeki SAP Commerce Cloud bileşenlerini etkileyen birden fazla Apache Tomcat güvenlik açığıyla ilgilidir.
Kusurlar SAP Commerce Cloud'da CVSS önem derecesi 9,6 olan CVE-2025-55754 tek bir tanımlayıcı altında izleniyor.
SAP Commerce Cloud, büyük ölçekli çevrimiçi mağazaları ürün katalogları, fiyatlandırma, promosyonlar, ödeme, sipariş yönetimi, müşteri hesapları ve ERP/CRM entegrasyonu ile destekleyen kurumsal düzeyde bir e-ticaret platformudur. Genellikle büyük perakendeciler ve global markalar tarafından kullanılmaktadır.
Bu ay düzeltilen üçüncü kritik (CVSS puanı: 9,1) kusur, SAP jConnect'i etkileyen bir seri durumdan çıkarma güvenlik açığı olan CVE-2025-42928'dir. Bu güvenlik açığı belirli koşullar altında yüksek ayrıcalıklı bir kullanıcının özel hazırlanmış girdi yoluyla hedefte uzaktan kod yürütmesine olanak tanıyabilir.
SAP jConnect, geliştiriciler ve veritabanı yöneticileri tarafından Java uygulamalarını SAP ASE ve SAP SQL Anywhere veritabanlarına bağlamak için kullanılan bir JDBC sürücüsüdür.
SAP'nin Aralık 2025 bülteninde ayrıca bellek bozulması, eksik kimlik doğrulama ve yetkilendirme kontrolleri, siteler arası komut dosyası çalıştırma ve bilgilerin ifşa edilmesi dahil olmak üzere beş yüksek önem dereceli kusur ve altı orta önem dereceli soruna yönelik düzeltmeler listeleniyor.
SAP çözümleri kurumsal ortamlara derinlemesine yerleştirilmiştir ve hassas, yüksek değerli iş yüklerini yöneterek onları saldırganlar için değerli bir hedef haline getirir.
Bu yılın başlarında SecurityBridge araştırmacıları, SAP S/4HANA, Business One ve NetWeaver dağıtımlarını etkileyen bir kod ekleme kusurunu (CVE-2025-42957) kötüye kullanan yaygın saldırıları gözlemledi.
SAP, 14 kusurdan hiçbirini aktif olarak kullanıldığı şeklinde işaretlemedi, ancak yöneticilerin düzeltmeleri gecikmeden dağıtması gerekiyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Windows PowerShell artık Invoke-WebRequest komut dosyalarını çalıştırırken uyarı veriyor
Critical React, Next.js kusuru, bilgisayar korsanlarının sunucularda kod çalıştırmasına izin veriyor
ImunifyAV'daki RCE kusuru, Linux tarafından barındırılan milyonlarca siteyi riske atıyor
Yaklaşık 50.000 Cisco güvenlik duvarı aktif olarak istismar edilen kusurlara karşı savunmasız
RCE saldırılarına karşı savunmasız olan 3.000 Apache ActiveMQ sunucusu çevrimiçi olarak açığa çıktı
Kaynak: Bleeping Computer