SAP Güvenlik Yaması Günü Eylül 2025


SAP Güvenlik Yaması Günü

Planlanan güvenlik bakımının bir parçası olarak SAP, Eylül 2025 Patch Day Notes’unu yayınladı, toplam 21 yeni güvenlik açığını ele aldı ve daha önce yayınlanan dört güvenlik danışmanına güncelleme sağladı.

Yeni ele alınan kusurlar arasında SAP sistemlerini uzaktan kod yürütme ve tam sistem uzlaşması da dahil olmak üzere önemli bir riske maruz bırakabilecek dört kritik güvenlik açığı vardır.

Kuruluşların bu yamaları kurumsal ortamlarını korumak için uygulamaları şiddetle tavsiye edilir.

Google Haberleri

Kritik güvenlik açıkları yamalı

Bu ayın CVE-2025-42944 olarak tanımlanan en şiddetli güvenlik açığı, mümkün olan en yüksek derecelendirme olan 10.0 CVSS puanı taşıyor.

Bu kusur, SAP NetWeaver’ın uzaktan yöntem çağrısı (RMI-P4) bileşeninde güvensiz bir seansizasyon güvenlik açığıdır.

Başarılı bir istismar, kimlik doğrulanmamış bir uzaktan saldırganın keyfi kod yürütmesine izin verebilir ve potansiyel olarak etkilenen sistemin gizliliğinin, bütünlüğünün ve kullanılabilirliğinden tam bir uzlaşmaya yol açabilir.

Bir başka kritik sorun olan CVE-2025-42922, SAP NetWeaver Uygulama Sunucusunu (AS) Java’yı etkiler. CVSS puanı 9.9 olan bu güvensiz dosya işlemleri güvenlik açığı, düşük ayrıcalıklı bir saldırganın yetkisiz dosya işlemleri gerçekleştirmesine izin verir.

Bu, saldırganın hassas sistem dosyalarını okumasını, değiştirmesini veya silmesini sağlayarak sistemin güvenliği üzerinde önemli bir etkiye yol açabilir.

ABAP ve ABAP platformunda olduğu gibi SAP NetWeaver’da bir dizin geçiş kusuru olan daha önce açıklanmış bir kritik güvenlik açığı olan CVE-2023-27500 için bir güncelleme yapıldı.

CVSS skoru 9.6 ile, bu güvenlik açığı, kritik sistem dosyalarının üzerine yazma ayrıcalıklarına sahip bir saldırgan tarafından potansiyel olarak sistem çapında kesintiye ve veri bozulmasına neden olabilir.

Dördüncü kritik güvenlik açığı olan CVE-2025-42958, SAP NetWeaver’da CVSS skoru 9.1 ile derecelendirilmiş eksik bir kimlik doğrulama kontrolüdür.

Bu güvenlik açığı, kimlik doğrulama mekanizmalarını atlamak için son derece ayrıcalıklı bir saldırgan tarafından kullanılabilir ve bunlara kritik işlevlere ve verilere yetkisiz erişim sağlar.

Yüksek öncelikli kusurlar ve diğer yamalar

Kritik sorunlara ek olarak, SAP birkaç yüksek öncelikli güvenlik açıklarını yamaladı. Bunlar şunları içerir:

  • CVE-2025-42933: CVSS puanı 8.8 ile SAP Business One’da (SLD) hassas bilgi kusurunun güvensiz bir şekilde depolanması.
  • CVE-2025-42929: SAP Peyzaj Dönüşüm Çoğaltma Sunucusunda Eksik Giriş Doğrulama Güvenlik Açığı, 8.1 olarak.
  • CVE-2025-42916: SAP S/4HANA’da benzer bir eksik giriş doğrulama kusuru, ayrıca 8.1 CVSS ile.
  • Bir güncelleme CVE-2025-27428SAP NetWeaver ve ABAP platformunda bir dizin geçiş güvenlik açığı 7.7 CVSS puanı taşıyor.

Kalan yamalar, SAP Commerce Cloud, SAP BusinessObjects ve birkaç Fiori uygulaması gibi bir dizi SAP ürününde, siteler arası komut dosyası (XSS), Hizmet Reddetme (DOS) ve eksik yetkilendirme kontrolleri dahil olmak üzere orta ve düşük şiddetin güvenlik açıklarını ele alır.

SAP’nin Eylül 2025 Patch Günü’nde yayınlanan 25 güvenlik notundan 21’i yeniydi. İşte bu güvenlik açıklarını detaylandıran bir tablo:

SAP Not # CVE kimliği Güvenlik Açığı Başlığı Etkilenen ürün Öncelik CVSS 3.0 skoru
3634501 CVE-2025-42944 SAP NetWeaver’da Güvensiz Sealizasyon Güvenlik Açığı (RMI-P4) SAP NetWeaver (RMI-P4) Eleştirel 10.0
3643865 CVE-2025-42922 SAP NetWeaver’da Java olarak Güvensiz Dosya İşlemleri Güvenlik Açığı (Web Hizmeti Dağıtım) Java olarak SAP NetWeaver (Web Hizmeti Dağıtım) Eleştirel 9.9
3627373 CVE-2025-42958 SAP NetWeaver’da Eksik Kimlik Doğrulama Kontrolü SAP Netweaver Eleştirel 9.1
3642961 CVE-2025-42933 SAP Business One’da (SLD) hassas bilgilerin güvensiz depolanması SAP Business One (SLD) Yüksek 8.8
3633002 CVE-2025-42929 SAP Peyzaj Dönüşüm Çoğaltma Sunucusunda Eksik Girdi Doğrulama Güvenlik Açığı SAP Peyzaj Dönüşüm Çoğaltma Sunucusu Yüksek 8.1
3635475 CVE-2025-42916 SAP S/4HANA’da (özel bulut veya şirket içi) eksik giriş doğrulama güvenlik açığı SAP S/4HANA (özel bulut veya şirket içi) Yüksek 8.1
3620264 CVE-2025-22228 SAP Commerce Cloud ve SAP Datahub içinde Bahar Güvenliğinde Güvenlik Yanlış Yapılandırma Güvenlik Açığı SAP Commerce Cloud ve SAP Datahub Orta 6.6
3614067 CVE-2025-42930 SAP iş planlaması ve konsolidasyonunda hizmet reddi (DOS) güvenlik açığı SAP iş planlaması ve konsolidasyonu Orta 6.5
3635587 CVE-2025-42912, CVE-2025-42913, CVE-2025-42914 SAP HCM’de Eksik Yetkilendirme Kontrolü (Fiori 2.0 zaman çizelgem) SAP HCM (Fiori 2.0 zaman çizelgem) Orta 6.5
3643832 CVE-2025-42917 SAP HCM’de Eksik Yetkilendirme Kontrolü (Zaman Çizelgelerini Onaylama Fiori 2.0 Uygulaması) SAP HCM (Zaman Çizelgelerini Onaylama Fiori 2.0 Uygulaması) Orta 6.5
3611420 CVE-2023-5072 SAP BusinessObjects Business Intelligence Platformunda kullanılan eski JSON Kütüphanesi nedeniyle Hizmet Reddetme (DOS) Güvenlik Açığı SAP BusinessObjects Business Intelligence Platformu Orta 6.5
3647098 CVE-2025-42920 SAP Tedarikçi İlişki Yönetiminde Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı SAP Tedarikçi İlişki Yönetimi Orta 6.1
3629325 CVE-2025-42938 SAP NetWeaver ABAP Platformunda Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı SAP NetWeaver ABAP Platformu Orta 6.1
3409013 CVE-2025-42915 Eksik Yetkilendirme Fiori Uygulamasında Kontrol (Ödeme Bloklarını Yönetin) Fiori uygulaması (ödeme bloklarını yönetin) Orta 5.4
3619465 CVE-2025-42926 SAP NetWeaver Uygulama Sunucusu Java’da Eksik Kimlik Doğrulama Kontrolü SAP NetWeaver Uygulama Sunucusu Java Orta 5.3
3627644 CVE-2025-42911 SAP NetWeaver’da Eksik Yetkilendirme Kontrolü (Hizmet Verileri İndir) SAP NetWeaver (Hizmet Verileri İndir) Orta 5.0
3640477 CVE-2025-42925 Java (IIOP Service) olarak SAP NetWeaver’da öngörülebilir nesne tanımlayıcı güvenlik açığı Java olarak SAP NetWeaver (IIOP Service) Orta 4.3
3450692 CVE-2025-42923 SAP FIORI APP’de Siteler Arası Talep Arıtma (CSRF) Güvenlik Açığı (F4044 İş Merkezi Gruplarını Yönetin) SAP FIORI APP (F4044 İş Merkezi Gruplarını Yönetin) Orta 4.3
3623504 CVE-2025-42918 ABAP için SAP NetWeaver Uygulama Sunucusunda Eksik Yetkilendirme Kontrolü (Arka Plan İşleme) ABAP için SAP NetWeaver Uygulama Sunucusu (Arka Plan İşleme) Orta 4.3
3525295 CVE-2025-42927 Java (Adobe Belge Hizmeti) olarak SAP NetWeaver’daki modası geçmiş OpenSSL sürümü nedeniyle bilgi açıklaması Java olarak SAP NetWeaver (Adobe Belge Hizmeti) Düşük 3.4
3632154 CVE-2024-13009 SAP Commerce Cloud’da Potansiyel Yanlış Kaynak Sürümü Güvenlik Açığı SAP Commerce Bulutu Düşük 3.1

SAP yöneticilerine güvenlik notlarının tam listesini gözden geçirmeleri ve sistemlerini potansiyel sömürüden korumak için kritik güvenlik açıklarından başlayarak yamaların uygulanmasına öncelik vermeleri tavsiye edilir.

Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.



Source link