SAP, ürün ekosisteminde çok çeşitli güvenlik açıklarını ele alan yeni bir güvenlik güncellemesi yayınladı. En endişe verici olanlar arasında, CVSS 10.0’ın mümkün olan en yüksek şiddet derecesini alan CVE-2025-42944 olarak izlenen SAP NetWeaver’da tanımlanan kritik bir güvenlik açığı bulunmaktadır.
Bu özel kusur, kimlik doğrulanmamış saldırganların keyfi komutları uzaktan yürütmesine izin vererek etkilenen yazılımı çalıştıran işletme sistemleri için önemli bir tehdit oluşturmasına izin verir.
SAP CVE-2025-42944 Güvenlik Açığı
SAP’nin Eylül 2025 Güvenlik Yaması Günü Bülteni’ne göre, CVE-2025-42944, SAP NetWeaver ServerCore sürüm 7.50’nin uzaktan yöntem çağrısı protokolü (RMI-P4) içinde güvensiz bir seansizasyon güvenlik açığından kaynaklanmaktadır.
Bu güvenlik açığı, tehdit aktörlerinin, sistemin festivalize ettiği ve yürüttüğü açık bir bağlantı noktası aracılığıyla özel olarak hazırlanmış yükler sunmalarını sağlar, bu da saldırganlara hedeflenen sistem üzerinde tam kontrol sağlar.
Sesselleştirme, depolama veya iletim için serileştirildikten sonra verileri bir nesneye geri dönüştürme işlemidir. Bu işlem sırasında uygunsuz doğrulama, uzaktan kod yürütme gibi ciddi istismarlar için kapıyı açabilir.
SAP NetWeaver’da Ek Yüksek Yürüyüş Güvenlik Açıkları
CVE-2025-42944’e ek olarak, SAP aynı platformda üç yüksek şiddetli kusur daha açıkladı:
- CVE-2025-42922: SAP NetWeaver’da Java (Web Hizmeti Dağıtım) olarak güvensiz bir dosya işlemi güvenlik açığı, CVSS 9.9 olarak derecelendirildi.
- CVE-2023-27500: Bir dizin geçiş sorunu, Mart 2023 Patch Günü’nde daha önce tanımlanmış ve güncellenmiş, SAP NetWeaver’ı ABAP ve ABAP platformunda, CVSS skoru 9.6 ile etkilemektedir.
- CVE-2025-42958: Çeşitli SAP NetWeaver Çekirdek Sürümlerinde Eksik Kimlik Doğrulama Kontrolü, CVSS 9.1 olarak derecelendirildi.
SAP Güvenlik Yaması Günü
Eylül 2025 yama sürümü 21 yeni güvenlik notu ve daha önce yayınlanan notlara 5 güncelleme içerir. SAP, tüm müşterileri sömürü riskini azaltmak için bu yamaların kurulumuna öncelik vermeye çağırdı. Güncellemeler, SAP S/4HANA, SAP Business One, SAP Commerce Cloud ve SAP HCM dahil olmak üzere birçok ana SAP ürünündeki güvenlik açıklarını ele alıyor.
Diğer önemli güvenlik açıkları yamalı
- CVE-2025-42933: Bir kusur relaSAP Business One (SLD) ‘de hassas verilerin güvensiz depolanmasına, CVSS 8.8 olarak derecelendirildi.
- CVE-2025-42929 & CVE-2025-42916: SAP Peyzaj Dönüşüm Çoğaltma Sunucusu ve SAP S/4HANA’daki eksik giriş doğrulama güvenlik açıkları, her ikisi de 8.1 puan aldı.
- CVE-2025-27428: SAP NetWeaver ve ABAP platformunda Nisan 2025 Patch Günü’nden güncellenen bir dizin geçiş sorunu CVSS 7.7 olarak değerlendirildi.
- CVE-2025-22228: SAP Commerce Cloud ve SAP DatAnub’da CVSS puanı 6.6 ile bir güvenlik yanlış yapılandırması.
- CVE-2025-42930: SAP iş planlaması ve konsolidasyonunda bir hizmet reddi (DOS) güvenlik açığı 6.5.
- CVE-2025-42912 ile CVE-2025-42914: SAP HCM My zaman çizelgesi Fiori 2.0 uygulamasında çok sayıda eksik yetkilendirme kontrolü, her biri CVSS 6.5 olarak derecelendirilir.
- CVE-2025-42920 & CVE-2025-42938: SAP Tedarikçi İlişki Yönetimi ve NetWeaver ABAP Platformunda Siteler Arası Komut Dosyası (XSS) Güvenlik Açıkları, her ikisi de 6.1 puan aldı.
Orta ve düşük riskli sorunlar da ele alındı
En dikkat çekici kusurlar kritik veya yüksek olarak derecelendirilirken, SAP ayrıca birkaç orta ve düşük şiddetli güvenlik açıklarını çözdü:
- CVE-2025-42961: ABAP için SAP NetWeaver Uygulama Sunucusunda Eksik Yetkilendirme Kontrolünü ele alan bir güncelleme, 4.9 derecelendirildi.
- CVE-2025-42941: SAP Fiori Launchpad’de ters tabnabbing güvenlik açığı 3.5 puan aldı.
- CVE-2025-42927: SAP NetWeaver’daki Java (Adobe Belge Hizmeti) olarak eski OpenSSL sürümleri nedeniyle bir bilgi açıklama kusuru 3.4 olarak derecelendirilmiştir.
- CVE-2024-13009: SAP Commerce Cloud’da potansiyel bir kaynak yayın sorunu.
SAP, tüm müşterilerin SAP Destek Portalına giriş yapmasını ve sistemlerini korumak için gerekli güvenlik yamalarını hemen uygulamalarını şiddetle tavsiye eder. Saldırılmamış güvenlik açıkları, özellikle CVE-2025-42944 gibi olanlar ciddi bir risk oluşturur ve sistem uzlaşmasına, veri hırsızlığına veya hizmet kesintisine yol açabilir.