SAP’nin 9 Eylül 2025’teki Güvenlik Yaması Günü, ürün portföyünde yeni keşfedilen 21 güvenlik açığı için düzeltmeler yaptı ve daha önce yayınlanan dört güvenlik notuna güncelleme sağladı.
Kritik olarak derecelendirilen dört sorunla, SAP ortamlarını çalıştıran kuruluşların, sistemlerini potansiyel istismarlardan korumak için yamaya öncelik vermeleri istenmektedir.
Bu ayın sürümü, NetWeaver bileşenlerinden ve ABAP platformlarından S/4HANA ve Business One modüllerine kadar çeşitli SAP ürünlerini kapsıyor.
Yeni ele alınan güvenlik açıklarından dördü, 9.0 veya daha yüksek bir CVSS puanı taşıyarak, açılmamışsa gizlilik, bütünlük ve kullanılabilirlik üzerindeki ciddiyetini ve potansiyel etkiyi yansıtır.
Ayrıca, SAP, mevcut yamaları hassaslaştırmak veya genişletmek için önceki dört güvenlik notu için güncellemeler yayınladı.
SAP, müşterilerin destek portalını ziyaret etmelerini ve ilgili güvenlik notlarını hemen uygulamalarını şiddetle tavsiye eder.
Sağlam bir güvenlik duruşunu korumak için güvenli yapılandırma kılavuzunu takiben de gereklidir.
Güvenlik Açığı Detayları
Kritik sorunlar arasında SAP NetWeaver’da güvensiz seansizasyon, Java’da güvensiz dosya işlemleri, ABAP platformlarında dizin geçişi ve NetWeaver çekirdeklerinde eksik kimlik doğrulama kontrolleri yer alıyor.
Yüksek şiddetli kusurlar çoğunlukla Business One, S/4HANA kopyası ve SAP Peyzaj Dönüşüm sunucuları gibi modülleri etkileyen eksik giriş doğrulaması veya güvensiz depolama içerir.
Orta dereceli güvenlik açıkları, HCM Fiori uygulamalarında, ticaret bulutunda ve iş planlama modüllerinde yanlış yapılandırmaları, siteler arası komut dosyalarını ve eksik yetkilendirme kontrollerini kapsar.
İki düşük dereceli kusur, Ticaret Bulutunda tarihi bir güvenlik açığının yanı sıra Adobe belge hizmetlerinde Fiori Launchpads ve eski OpenSSL’de ters tabnabbing’i ele alıyor.
Aşağıda, her güvenlik notunu, ilişkili CVE tanımlayıcı (lar), ürün, sürüm, öncelik ve CVSS puanını listeleyen konsolide bir tablo bulunmaktadır.
| CVE (ler) | Başlık | Öncelik | CVSS |
| CVE-2025-42944 | Güvensiz seansizasyon | Eleştirel | 10.0 |
| CVE-2025-42922 | Güvensiz dosya işlemleri | Eleştirel | 9.9 |
| CVE-2023-27500 | Dizin geçişi | Eleştirel | 9.6 |
| CVE-2025-42958 | Eksik Kimlik Doğrulama Kontrolü | Eleştirel | 9.1 |
| CVE-2025-42933 | Hassas bilgilerin güvensiz depolanması | Yüksek | 8.8 |
| CVE-2025-42929 | Eksik Girdi Doğrulaması | Yüksek | 8.1 |
| CVE-2025-42916 | Eksik Girdi Doğrulaması | Yüksek | 8.1 |
| CVE-2025-27428 | Dizin geçişi | Yüksek | 7.7 |
| CVE-2025-22228 | Güvenlik yanlış yapılandırması | Orta | 6.6 |
| CVE-2025-42930 | Hizmet reddi | Orta | 6.5 |
| CVE-2025-42912, 42913, 42914 | Eksik Yetkilendirme Kontrolü | Orta | 6.5 |
| CVE-2025-42917 | Eksik Yetkilendirme Kontrolü | Orta | 6.5 |
| CVE-2023-5072 | Hizmet Reddi (Eski JSON Kütüphanesi) | Orta | 6.5 |
| CVE-2025-42920 | Siteler arası komut dosyası | Orta | 6.1 |
| CVE-2025-42938 | Siteler arası komut dosyası | Orta | 6.1 |
| CVE-2025-42915 | Eksik Yetkilendirme Kontrolü | Orta | 5.4 |
| CVE-2025-42926 | Eksik Kimlik Doğrulama Kontrolü | Orta | 5.3 |
| CVE-2025-42911 | Eksik Yetkilendirme Kontrolü | Orta | 5.0 |
| CVE-2025-42961 | Eksik Yetkilendirme Kontrolü | Orta | 4.9 |
| CVE-2025-42925 | Tahmin edilebilir nesne tanımlayıcısı | Orta | 4.3 |
| CVE-2025-42923 | Siteler Arası Talep Arıtma | Orta | 4.3 |
| CVE-2025-42918 | Eksik Yetkilendirme Kontrolü | Orta | 4.3 |
| CVE-2025-42941 | Ters Tabnabbing | Düşük | 3.5 |
| CVE-2025-42927 | Bilgi Açıklama (Eski OpenSSL) | Düşük | 3.4 |
| CVE-2024-13009 | Yanlış Kaynak Sürümü | Düşük | 3.1 |
SAP Destek Portalı’nda araştırmacılar için güvenli yapılandırma kılavuzu ve krediler mevcuttur. Ayrıntılı talimatlar ve arşivlenmiş yama günleri için lütfen SAP’nin resmi belgelerine bakın.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.