SAP, 12 Ağustos 2025’te, dünya çapında kuruluşlar için önemli riskler oluşturan üç kritik kod enjeksiyon kusuru da dahil olmak üzere Kurumsal Yazılım Portföyü’ndeki 15 yeni güvenlik açıklarını ele alan kapsamlı bir güvenlik güncellemesi yayınladı.
Aylık Güvenlik Yaması Günü, SAP’nin kurumsal uygulamalarında ortaya çıkan tehditleri ele alma konusundaki taahhüdünü gösteren daha önce yayınlanan güvenlik notlarına dört güncelleme içeriyordu.
Key Takeaways
1. 3 code injection vulnerabilities in S/4HANA and Landscape Transformation allow remote code execution.
2. Low attack complexity with minimal privileges makes these flaws easily exploitable for system compromise.
3. 15 total vulnerabilities across NetWeaver, Business One, and core SAP platforms requiring immediate patching.
En ilgili keşifler arasında, her biri maksimum CVSS puanı 9.9 taşıyan çekirdek SAP S/4HANA sistemlerini ve SAP peyzajı dönüşüm platformunu etkileyen enjeksiyon güvenlik açıkları bulunmaktadır.
Bu kritik güvenlik açıkları, potansiyel olarak saldırganların tüm SAP manzaralarını tehlikeye atmasına ve hassas iş verilerine erişmesine izin veren minimum kullanıcı ayrıcalıklarıyla uzaktan kod yürütülmesini sağlar.
Kritik Kod Enjeksiyon Güvenlikleri
Bu yama döngüsünde tanımlanan üç kritik güvenlik açıkları, SAP sistemlerinde şimdiye kadar belgelenen en ciddi güvenlik risklerinden bazılarını temsil etmektedir.
CVE-2025-42957, SAP S/4HANA özel bulutunu ve S4CORE 102 ila 108 sürümleri arasında şirket içi kurulumları etkiler, bu da kimlik doğrulamalı saldırganların yüksek ayrıcalıklarla keyfi kod yürütmesini sağlar.
Benzer şekilde, CVE-2025-42950, 2011_1_700’den 2020’ye kadar birden fazla DMIS sürümünü etkileyen SAP Peyzaj Dönüşüm Analiz Platformunu hedefler.
Üçüncü kritik kusur olan CVE-2025-27429, Nisan 2025’te piyasaya sürülen güncellenmiş bir güvenlik notunu temsil eder, bu da ek saldırı vektörlerinin veya eksik iyileştirmenin ilk yamadan bu yana keşfedilmiş olabileceğini gösterir.
Bu enjeksiyon güvenlik açıkları, SAP’nin ABAP çalışma zamanı ortamında yetersiz giriş doğrulama mekanizmalarından yararlanır ve kötü amaçlı aktörlerin ağdan erişilebilir arabirimler aracılığıyla yetkisiz kodu enjekte etmesine ve yürütmesine izin verir.
Saldırı karmaşıklığı düşük (AC: L) olarak derecelendirilir, yalnızca düşük seviyeli ayrıcalıklar (PR: L) ve kullanıcı etkileşimi (UI: N) gerektirmez, bu güvenlik açıklarını siber suçlular için özellikle cazip hale getirir.
“Değişen” (S: C) kapsamı, başarılı sömürünün kaynakları savunmasız bileşenin ötesinde etkileyebileceğini ve potansiyel olarak tam sistem uzlaşmasına yol açabileceğini göstermektedir.
Yetkilendirme ve enjeksiyon kusurları
Kritik enjeksiyon güvenlik açıklarının ötesinde, bu yama döngüsü, yetkilendirme bypass, siteler arası senaryo (XSS) ve bilgi açıklama konularını kapsayan çeşitli güvenlik zayıflıklarını ele almaktadır.
SAP Business One SLD’de CVE-2025-42951, CVSS skoru 8.8 ile hem B1_ON_HANA 10.0 hem de SAP-M-BO 10.0 sürümlerini etkileyen yüksek şiddetli kırık yetkilendirme kırılganlığını temsil eder.
SAP NetWeaver Uygulama Sunucusu ABAP ekosistemi, CVE-2025-42976 dahil olmak üzere, BIC belge işlevselliğindeki birden fazla güvenlik açığını ve farklı platform bileşenlerini etkileyen birkaç XSS güvenlik açıkını ele alan birçok güvenlik zorluğuyla karşı karşıyadır.
Orta yüzeysel güvenlik açıkları arasında S/4HANA Bank İletişim Yönetimi (CVE-2025-42946) ve NetWeaver Uygulama Sunucusu ABAP (CVE-2025-42945) ‘de HTML enjeksiyon sorunlarında dizin geçiş kusurları bulunmaktadır.
İnternet iletişim yöneticisi bileşenindeki çeşitli SAP_BASIS sürümlerinde ve bilgi açıklama güvenlik açıklarında eksik yetkilendirme kontrollerinden ek endişeler ortaya çıkmaktadır.
| CVE kimliği | Başlık | CVSS 3.1 puanı | Şiddet |
| CVE-2025-42957 | SAP S/4HANA’da (özel bulut veya şirket içi) kod enjeksiyon güvenlik açığı | 9.9 | Eleştirel |
| CVE-2025-42950 | SAP Peyzaj Dönüşümünde Kod Enjeksiyon Güvenlik Açığı (Analiz Platformu) | 9.9 | Eleştirel |
| CVE-2025-27429 | SAP S/4HANA’da (özel bulut veya şirket içi) kod enjeksiyon güvenlik açığı | 9.9 | Eleştirel |
| CVE-2025-42951 | SAP Business One’da Kırık Yetkilendirme (SLD) | 8.8 | Yüksek |
| CVE-2025-42976 | SAP NetWeaver Uygulama Sunucusu ABAP (BIC Document) | 8.1 | Yüksek |
| CVE-2025-42975 | SAP NetWeaver Uygulama Sunucusu ABAP (BIC Document) | 8.1 | Yüksek |
| CVE-2025-42946 | SAP S/4HANA’da dizin geçiş güvenlik açığı (Banka İletişim Yönetimi) | 6.9 | Orta |
| CVE-2025-42945 | SAP NetWeaver Uygulama Sunucusunda HTML Enjeksiyon Güvenlik Açığı ABAP | 6.1 | Orta |
| CVE-2025-42942 | ABAP için SAP NetWeaver Uygulama Sunucusunda Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı | 6.1 | Orta |
| CVE-2025-42948 | SAP NetWeaver ABAP Platformunda Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı | 6.1 | Orta |
| CVE-2025-0059 | SAP NetWeaver Uygulama Sunucusunda Bilgi Açıklama Güvenlik Açığı ABAP | 6.0 | Orta |
| CVE-2025-42936 | ABAP için SAP NetWeaver Uygulama Sunucusunda Eksik Yetkilendirme Kontrolü | 5.4 | Orta |
| CVE-2025-23194 | SAP NetWeaver Enterprise Portalında Eksik Kimlik Doğrulama Kontrolü (OBN Bileşeni) | 5.3 | Orta |
| CVE-2025-42949 | ABAP Platformunda Eksik Yetkilendirme Kontrolü | 4.9 | Orta |
| CVE-2025-42943 | Windows için SAP GUI’de bilgi açıklaması | 4.5 | Orta |
| CVE-2025-42934 | SAP S/4HANA’da CRLF Enjeksiyon Güvenlik Açığı (Tedarikçi Faturası) | 4.3 | Orta |
| CVE-2025-31331 | SAP NetWeaver’da Yetkilendirme Güvenlik Açığı | 4.3 | Orta |
| CVE-2025-42935 | ABAP ve ABAP Platformu için SAP NetWeaver’da Bilgi Açıklama Güvenlik Açığı | 4.1 | Orta |
| CVE-2025-42955 | SAP Cloud Connector’da Eksik Yetkilendirme Kontrolü | 3.5 | Düşük |
| CVE-2025-42941 | SAP Fiori’de Ters Tabnabbing Güvenlik Açığı (Launchpad) | 3.5 | Düşük |
Güvenlik notları ayrıca SAP Fiori Launchpad’de (CVE-2025-42941) ters tabnabbing sorunu ve Windows için SAP GUI’de bilgi açıklaması (CVE-2025-42943) dahil olmak üzere istemci tarafı güvenlik açıklarını da ele almaktadır.
SAP sistemlerini çalıştıran kuruluşlar, özellikle sistem uzlaşmasını sağlayabilecek üç kritik kod enjeksiyon güvenlik açıkları için bu güvenlik yamalarının derhal dağıtılmasına öncelik vermelidir.
SAP, müşterilerin destek portallarını ziyaret etmelerini ve kurumsal manzaralarını korumak için öncelik derecelendirmelerine göre yamalar uygulamalarını önerir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.