SAP, 18 yeni güvenlik notunu ele alan ve mevcut güvenlik notlarına iki güncelleme sağlayan aylık Güvenlik Yaması Günü güncellemelerini yayınladı; ürün ekosisteminde uzaktan kod yürütülmesine ve çeşitli enjeksiyon saldırılarına olanak verebilecek güvenlik açıklarına odaklandı.
Bu yamalar, SAP sistemlerine güvenen kuruluşlar için hayati öneme sahiptir; çünkü yama yapılmayan kusurlar, hassas verileri ve operasyonel aksaklıkları tehdit aktörlerine maruz bırakabilir.
SAP, ortamlarını potansiyel istismarlardan korumak için müşterilerini Destek Portalı aracılığıyla bu düzeltmeleri uygulamaya öncelik vermeye teşvik ediyor.
Kritik Güvenlik Açıkları Düzeltildi
En ciddi sorunlar arasında, SQL Anywhere Monitor (GUI olmayan) sürüm 17.0’daki, güvenli olmayan anahtar ve gizli yönetim uygulamalarından kaynaklanan CVE-2025-42890 yer almaktadır.
CVSS 10.0’da puanlanan bu kritik güvenlik açığı, ağ üzerindeki kimliği doğrulanmamış saldırganların gizliliği, bütünlüğü ve kullanılabilirliği büyük bir etkiyle tehlikeye atmasına olanak tanır ve potansiyel olarak açığa çıkan kimlik bilgileri aracılığıyla tüm sistemin ele geçirilmesine yol açar.
Benzer şekilde, SAP NetWeaver AS Java’da (SERVERCORE 7.50) CVE-2025-42944’e yapılan bir güncelleme, güvenli olmayan seri durumdan çıkarmaya karşı korumaları güçlendirir, CVSS 10.0 derecelendirmesini korur ve kötü amaçlı yükler yoluyla kimliği doğrulanmamış uzaktan kod yürütülmesine olanak tanır.
Güvenlik uzmanları, bu tür seri durumdan çıkarma kusurlarının yaygın şekilde istismar edildiğinin altını çizerek, acil yama yapılmasının aciliyetinin altını çiziyor.
SAP Solution Manager’daki (ST 720) bir diğer yüksek etkili kusur olan CVE-2025-42887, düşük ayrıcalıklara sahip kimliği doğrulanmış kullanıcılar tarafından yararlanılabilen ve 9,9 CVSS puanı kazanan bir kod yerleştirme güvenlik açığı sunuyor.
Saldırganlar, kapsamlar arası yükseltme elde etmek, rastgele kod yürütmek ve temel iş işlevlerini bozmak için bundan yararlanabilir. Bu, enjeksiyon saldırılarının temel bileşenleri hedef alarak kurumsal ortamlardaki riskleri artırdığı SAP güvenlik açıklarındaki daha geniş eğilimlerle uyumludur.
Yama gününde ayrıca, SAP Business Connector’da (sürüm 4.8) işletim sistemi komut enjeksiyonu için CVE-2025-42892 ve yüksek ayrıcalıklı bitişik saldırganların yetkisiz komutlar çalıştırmasına izin verebilecek CVSS 6.8 dahil olmak üzere orta şiddette enjeksiyonla ilgili birçok sorun ele alınmaktadır.
CVE-2025-42884, SAP NetWeaver Enterprise Portal’a (EP-BASIS 7.50) JNDI enjeksiyonu içeriyor ve CVSS 6.5 olarak derecelendirilmiş, potansiyel olarak yetkisiz aramalara ve veri sızıntılarına yol açıyor.
Ek olarak CVE-2025-42889, çeşitli sürümlerde SAP Starter Solution’da (PL SAFT) SQL enjeksiyonunu ele alarak düşük ayrıcalıklı kullanıcıların veritabanı sorgularını yönetmesine olanak tanır.
Yüksek önem derecesine sahip notlar arasında, CVSS 7.5 ile SAP CommonCryptoLib’de (sürüm 8) bir bellek bozulması sorunu olan ve kimlik doğrulama olmadan hizmet reddine neden olabilecek CVE-2025-42940 yer almaktadır.
Orta öncelikli düzeltmeler, SAP HANA 2.0 ve Business One gibi bileşenlerde yol geçişini (CVE-2025-42894), açık yönlendirmeleri (CVE-2025-42924), yansıtılan XSS’yi (CVE-2025-42886) ve eksik kimlik doğrulamayı (CVE-2025-42885) kapsar. Düşük önem derecesine sahip güncellemeler, S/4HANA ve Fiori’deki eksik yetkilendirmeleri ve önbellek zehirlenmesini giderir.
Bu güvenlik açıkları, kod yürütme yollarının gelişmiş kalıcı tehditler için ana hedefler olmaya devam ettiği SAP’nin eski ve modern yığınlarında süregelen zorlukların altını çiziyor.
Kuruluşlar, riskleri azaltmak için üretime geçmeden önce hazırlık aşamasında güvenlik açığı taramaları yapmalı, ağları segmentlere ayırmalı ve yamaları test etmelidir. Kuruluşlar, bu kusurları derhal ele alarak, görev açısından kritik SAP dağıtımlarında gelişen siber tehditlere karşı dayanıklılığı koruyabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
