SAP, 12 Ağustos 2025’te kritik güvenlik güncellemelerini yayınladı ve kurumsal yazılım portföyünde 15 güvenlik açığını ele aldı ve üç ciddi kod enjeksiyon kusuru en yüksek CVSS skorunu 9.9 aldı.
Aylık Güvenlik Yaması Günü ayrıca, şirketin gelişen tehditlere karşı müşteri ortamlarını koruma konusundaki taahhüdünü vurgulayan daha önce yayınlanan güvenlik notlarına dört güncelleme içeriyordu.
Kritik Kod Enjeksiyon Güvenlik Açıkları Güvenlik Güncellemeleri Kurşun
Bu ay yamalanan en şiddetli güvenlik açıkları, saldırganların yüksek ayrıcalıklarla keyfi kod yürütmesine izin verebilecek üç kod enjeksiyon kusuru.
SAP S/4HANA ve CVE-2025-42950’yi etkileyen CVE-2025-42957, SAP peyzajı dönüşümünü etkileyen iki yeni kritik güvenlik açığı, her ikisi de maksimum şiddet derecelendirmesi aldı.
Ayrıca SAP, S/4HANA’da daha önce açıklanmış bir kod enjeksiyon güvenlik açığı (CVE-2025-27429) güncelledi ve bu da ilk Nisan 2025’te yamalı.
| CVE kimliği | Ürün | Güvenlik Açığı Türü | Öncelik | CVSS Puanı |
| CVE-2025-42957 | SAP S/4HANA | Kod enjeksiyonu | Eleştirel | 9.9 |
| CVE-2025-42950 | SAP Peyzaj Dönüşümü | Kod enjeksiyonu | Eleştirel | 9.9 |
| CVE-2025-27429 | SAP S/4HANA | Kod enjeksiyonu | Eleştirel | 9.9 |
| CVE-2025-42951 | SAP Business One | Kırık Yetkilendirme | Yüksek | 8.8 |
| CVE-2025-42976 | ABAP olarak SAP NetWeaver | Birden fazla güvenlik açıklaması | Yüksek | 8.1 |
| CVE-2025-42946 | SAP S/4HANA | Dizin geçişi | Orta | 6.9 |
Bu enjeksiyon güvenlik açıkları, özellikle kurumsal ortamlarda yaygın olarak dağıtılan çekirdek SAP ürünlerini etkilediği için ilgilidir.
Kusurlar, düşük karmaşıklığa sahip ağ tabanlı saldırılara izin verir, sadece düşük seviyeli ayrıcalıklar ve kullanıcı etkileşimi gerektirmez, bu da onları SAP manzaralarından ödün vermek isteyen siber suçlular için cazip hedefler haline getirir.
Ağustos yama döngüsü, birden fazla SAP ürününü ve şiddet seviyelerini kapsayan güvenlik açıklarını ele alır:
Kritik enjeksiyon kusurlarının ötesinde SAP, NetWeaver Uygulama Sunucusundaki Siteler Arası Komut Dosyası (XSS) güvenlik açıkları, Yetkilendirme Bypass sorunları ve bilgi açıklama kusurları gibi diğer çeşitli güvenlik sorunlarını ele aldı.
Özellikle, yama döngüsü, SAP’nin güvenlik bakım çabalarının geniş kapsamını gösteren Windows ve SAP bulut konnektörü için SAP GUI düzeltmeleri içerir.
Şirket ayrıca NetWeaver Uygulama Sunucusu bileşenlerini etkileyen CVSS puanları 6.1 ile birden fazla XSS güvenlik açığı ele aldı.
Bu güvenlik açıkları kullanıcı etkileşimini sömürmek için gerektirse de, hedeflenen senaryolarda kimlik avı saldırılarını veya veri hırsızlığını kolaylaştırabilirler.
SAP, müşterilerin destek portalını hemen ziyaret etmelerini ve özellikle üç kritik kod enjeksiyon güvenlik açıkları için bu yamaları öncelikli olarak uygulamalarını şiddetle tavsiye eder.
Kuruluşlar önce internete bakan SAP sistemlerini ve duyarlı verileri işleyenlere odaklanmalıdır.
Şirket ayrıca kuruluşların SAP portföylerinde sağlam güvenlik duruşlarını sürdürmelerine yardımcı olmak için kapsamlı güvenlik yapılandırma yönergeleri yayınladı.
Enjeksiyon güvenlik açıklarının şiddeti ve uzaktan sömürü potansiyeli göz önüne alındığında, güvenlik ekipleri bu yama döngüsünü acil olarak ele almalı ve etkilenen tüm sistemlerde hızlı dağıtım sağlamak için SAP yöneticileriyle koordinasyon olmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!