SAP, 8 Temmuz 2025’te kritik güvenlik güncellemelerini yayınladı ve kurumsal yazılım portföyü boyunca 27 güvenlik açığını ele aldı ve yedi kişi kritik-şiddetli kusurlar olarak sınıflandırıldı.
Aylık Güvenlik Yaması Günü, daha önce yayınlanan güvenlik notlarına üç güncelleme içeriyordu ve kurumsal yazılım ortamlarının karşılaştığı devam eden güvenlik zorluklarının altını çizdi.
En şiddetli güvenlik açığı olan CVE-2025-30012, SAP Tedarikçi İlişki Yönetimi’nin canlı açık artırma kokpit bileşenini etkiler ve maksimum CVSS puanı 10.0 taşır.
Bu kritik kusur, CVE-2025-30009, CVE-2025-30010, CVE-2025-30011 ve CVE-2025-30018 dahil olmak üzere birçok güvenlik açığını kapsar ve potansiyel olarak saldırganların tam sistem kontrolü kazanmasına izin verir.
| CVE | Ürün | Öncelik | CVSS | Tip |
| CVE-2025-30012 | SAP Tedarikçi İlişki Yönetimi | Eleştirel | 10.0 | Birden fazla güvenlik açıklaması |
| CVE-2025-42967 | SAP S/4HANA ve SAP SCM | Eleştirel | 9.1 | Kod enjeksiyonu |
| CVE-2025-42980 | SAP NetWeaver Enterprise Portalı | Eleştirel | 9.1 | Güvensiz seansizasyon |
| CVE-2025-42964 | SAP NetWeaver Enterprise Portalı | Eleştirel | 9.1 | Güvensiz seansizasyon |
| CVE-2025-42966 | SAP NetWeaver XML Veri Arşivleme | Eleştirel | 9.1 | Güvensiz seansizasyon |
| CVE-2025-42963 | SAP NetWeaver Uygulama Sunucusu Java | Eleştirel | 9.1 | Güvensiz seansizasyon |
| CVE-2025-42959 | SAP NetWeaver ABAP Sunucusu | Yüksek | 8.1 | Eksik Kimlik Doğrulama |
| CVE-2025-42953 | SAP NetWeaver Uygulama Sunucusu ABAP | Yüksek | 8.1 | Eksik Yetkilendirme |
| CVE-2024-53677 | SAP Business Nesneleri Bi Platform | Yüksek | 8.0 | Güvensiz dosya işlemleri |
| CVE-2025-42952 | SAP Business Deposu | Yüksek | 7.7 | Eksik Yetkilendirme |
| CVE-2025-42977 | SAP Netweaver Visual Bester | Yüksek | 7.6 | Dizin geçişi |
| CVE-2025-43001 | Çukur | Orta | 6.9 | Ayrıcalık artışı |
| CVE-2025-42993 | SAP S/4HANA Enterprise Etkinliği | Orta | 6.7 | Eksik Yetkilendirme |
| CVE-2025-42981 | SAP NetWeaver Uygulama Sunucusu ABAP | Orta | 6.1 | Birden fazla güvenlik açıklaması |
| CVE-2025-42969 | SAP NetWeaver Uygulama Sunucusu ABAP | Orta | 6.1 | Siteler arası komut dosyası |
| CVE-2025-42962 | SAP Business Deposu | Orta | 6.1 | Siteler arası komut dosyası |
| CVE-2025-42985 | SAP BusinessObjects İçerik Yöneticisi | Orta | 6.1 | Açık yönlendirme |
| CVE-2025-42970 | Çukur | Orta | 5.8 | Dizin geçişi |
| CVE-2025-42979 | Windows için SAP GUI | Orta | 5.6 | Güvensiz Anahtar Yönetimi |
| CVE-2025-42973 | SAP Veri Hizmetleri | Orta | 5.4 | Siteler arası komut dosyası |
| CVE-2025-42968 | SAP Netweaver RFC | Orta | 5.0 | Eksik Yetkilendirme |
| CVE-2025-42961 | SAP NetWeaver Uygulama Sunucusu ABAP | Orta | 4.9 | Eksik Yetkilendirme |
| CVE-2025-42960 | SAP Business Warehouse Bex Araçları | Orta | 4.3 | Eksik Yetkilendirme |
| CVE-2025-42986 | SAP NetWeaver ve ABAP Platformu | Orta | 4.3 | Eksik Yetkilendirme |
| CVE-2025-42974 | SAP NetWeaver ve ABAP Platformu | Orta | 4.3 | Eksik Yetkilendirme |
| CVE-2025-31326 | SAP BusinessObjects BI Platformu | Orta | 4.1 | HTML enjeksiyonu |
| CVE-2025-42965 | SAP BusinessObjects BI Platformu | Orta | 4.1 | Sunucu tarafı isteği AMAJLI |
| CVE-2025-42971 | Çukur | Orta | 4.0 | Hafıza Yolsuzluğu |
| CVE-2025-42978 | SAP NetWeaver Uygulama Sunucusu Java | Düşük | 3.5 | Güvensiz ana bilgisayar adı doğrulama |
| CVE-2025-42954 | SAP Netweaver Business Deposu | Düşük | 2.7 | Hizmet reddi |
Kod enjeksiyonu ve serileştirme kırılganlıkları, kritik kategoriye hakim olur ve beş ek kusur CVSS ölçeğinde 9.1 puan alır.
CVE-2025-42967, SAP S/4HANA ve SAP SCM’nin karakteristik yayılma bileşeninde bir kod enjeksiyon güvenlik açığını temsil eder ve SCMAPO, S4Core, S4Coreop ve SCM ürün hatlarında birden fazla sürümü etkiler.
Yamalar ayrıca SAP arşivi yardımcısındaki ayrıcalık artış (CVE-2025-43001), dizin geçiş (CVE-2025-42970) ve bellek yolsuzluğu (CVE-2025-42971) sorunları dahil olmak üzere sapcar güvenlik açıklarını da ele almaktadır.
SAP, özellikle internete dönük sistemleri etkileyen kritik güvenlik açıkları için hemen yama yapmayı şiddetle tavsiye eder.
Kuruluşlar, özel SAP peyzajlarına ve maruz kalma seviyelerine göre güncellemelere öncelik vermelidir ve kritik yamalar potansiyel sistem uzlaşmasını önlemek için acil dikkat gerektirir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.