SAP, Şubat 2025 Güvenlik Yaması Günü’nde mevcut yamalarda 19 yeni güvenlik notu ve iki güncelleme yayınladı ve ürün paketinde yüksek riskli güvenlik açıklarını hedef aldı.
Güncellemeler, siteler arası komut dosyası (XSS) düzeltmeleri, kimlik doğrulama baypasları ve SAP NetWeaver, BusinessObjects ve SAP Commerce gibi platformları etkileyen yetkilendirme kusurlarını içerir.
SAP, müşterilerin sistemlerini potansiyel sömürüye karşı korumak için bu yamaları derhal uygulamalarını şiddetle tavsiye eder.
SAP Güvenlik Güncellemesi – 19 Güvenlik Açıkları Yamalı
Şubat ayı sürümü, ortak güvenlik açığı puanlama sistemlerine (CVSS) dayanarak “yüksek öncelik” olarak derecelendirilen yüksek şiddetli güvenlik açıklarına öncelik vermektedir. Aşağıda ele alınan kritik ve yüksek öncelikli güvenlik açıklarından bazıları:
Java olarak NetWeaver’da Siteler Arası Komut Dosyası (CVE-2024-22126)
CVE-2024-22126 olarak izlenen yüksek öncelikli bir güvenlik açığı, SAP NetWeaver’da Java (Kullanıcı Yönetici Uygulaması) sürüm 7.50 olarak keşfedilmiştir.
CVSS skoru 8.8 olan bu siteler arası komut dosyası (XSS) güvenlik açığı, saldırganların web uygulamalarına kötü amaçlı komut dosyaları enjekte etmesini, potansiyel olarak kullanıcı verilerini ve sistem bütünlüğünü tehlikeye atmasını sağlar. Bu güvenlik notunda bir güncelleme de yayınlandı.
SAP BusinessObjects BI Platformunda uygunsuz yetkilendirme (CVE-2025-0064)
CVE-2025-0064 olarak tanımlanan yüksek öncelikli bir güvenlik açığı, SAP BusinessObjects BI Platformu, 430 ve 2025 sürümlerinin merkezi yönetim konsolunda keşfedilmiştir.
CVSS puanı 8.7 olan bu “uygunsuz yetkilendirme” kusuru, yetkisiz kullanıcıların BusinessObjects platformundaki hassas verilere veya işlevlere erişmesine izin verebilir.
SAP Tedarikçi İlişki Yönetiminde Yol Gezisi (CVE-2025-25243)
SAP Tedarikçi İlişki Yönetimi’nin Ana Veri Yönetimi Kataloğu, SRM_MDM_CAT 7.52 sürümünde yüksek öncelikli bir güvenlik açığı olan CVE-2025-25243 tanımlanmıştır.
CVSS skoru 8.6 olan bu “yol geçiş” güvenlik açığı, saldırganların dosya yollarını manipüle etmesine izin vererek potansiyel olarak yetkisiz erişim veya veri bozulmasına yol açar.
SAP onaylayıcısında kimlik doğrulama baypası (CVE-2025-24876)
Yüksek öncelikli bir güvenlik açığı olan CVE-2025-24876, SAP onaylayıcı kitaplığını, 2.6.1 ila 16.7.1 sürümlerini etkiler.
CVSS skoru 8.1 olan bu “kimlik doğrulama baypas” güvenlik açığı, saldırganların kötü niyetli yetkilendirme kodları enjekte ederek kimlik doğrulama mekanizmalarını atlamasına ve böylece uygulama güvenliğinden ödün vermesine izin verir.
SAP Enterprise Proje Bağlantısında Çoklu Güvenlik Açıkları (CVE-2024-38819)
SAP Enterprise Project Connection sürüm 3.0’da toplu olarak CVE-2024-38819 olarak tanımlanan çoklu güvenlik açıkları keşfedilmiştir.
CVSS puanı 7.5 ile bu yüksek öncelikli sorunu, hem sistem kullanılabilirliğini hem de veri gizliliğini etkileyebilecek bir dizi güvenlik açıkını kapsamaktadır.
Orta ve düşük öncelikli güvenlik açıkları
Yüksek öncelikli sorunlara ek olarak, birkaç orta öncelikli güvenlik açıkları da ele alındı:
- SAP HANA Genişletilmiş Uygulama Hizmetlerinde (CVE-2025-24868) açık yönlendirme, CVSS Puanı: 7.1.
- SAP Commerce Backoffice (CVE-2025-24874), CVSS Puanında Tıklama için Derinlik Eksikliği Eksik.
- SAP NetWeaver Uygulama Sunucusu ABAP (CVE-2025-23193), CVSS Puanı: 5.3.
- ERP için SAP Fiori’de önbellek zehirlenmesi (CVE-2025-23191), CVSS skoru: 3.1.
SAP, kötü niyetli aktörler tarafından sömürülme potansiyelleri nedeniyle bu güvenlik açıklarını hemen ele almanın önemini vurguladı.
Güvenlik notlarının tam listesi SAP Destek Portalında mevcuttur. SAP’nin bulut hizmetlerini kullanan işletmeler otomatik olarak yamalanırken, şirket içi kullanıcılar güncellemeleri manuel olarak uygulamalıdır.
Bu ayki güvenlik güncellemeleri, potansiyel ihlalleri veya sistem uzlaşmalarını önlemek için güncel bir SAP ortamının sürdürülmesinin kritikliğinin altını çiziyor.
Etkilenen ürünleri kullanan kuruluşlar, dağıtımdan önce kapsamlı testler sağlarken, CVSS puanlarına ve operasyonel etkiye dayalı yama işlemine öncelik vermelidir.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri