.webp?w=696&resize=696,0&ssl=1 "SAP Güvenlik Yaması Günü")
Planlanan güvenlik bakımının bir parçası olarak SAP, Eylül 2025 Patch Day Notes’unu yayınladı, toplam 21 yeni güvenlik açığını ele aldı ve daha önce yayınlanan dört güvenlik danışmanına güncelleme sağladı.
Yeni ele alınan kusurlar arasında SAP sistemlerini uzaktan kod yürütme ve tam sistem uzlaşması da dahil olmak üzere önemli bir riske maruz bırakabilecek dört kritik güvenlik açığı vardır.
Kuruluşların bu yamaları kurumsal ortamlarını korumak için uygulamaları şiddetle tavsiye edilir.
Kritik güvenlik açıkları yamalı
Bu ayın CVE-2025-42944 olarak tanımlanan en şiddetli güvenlik açığı, mümkün olan en yüksek derecelendirme olan 10.0 CVSS puanı taşıyor.
Bu kusur, SAP NetWeaver’ın uzaktan yöntem çağrısı (RMI-P4) bileşeninde güvensiz bir seansizasyon güvenlik açığıdır.
Başarılı bir istismar, kimlik doğrulanmamış bir uzaktan saldırganın keyfi kod yürütmesine izin verebilir ve potansiyel olarak etkilenen sistemin gizliliğinin, bütünlüğünün ve kullanılabilirliğinden tam bir uzlaşmaya yol açabilir.
Bir başka kritik sorun olan CVE-2025-42922, SAP NetWeaver Uygulama Sunucusunu (AS) Java’yı etkiler. CVSS puanı 9.9 olan bu güvensiz dosya işlemleri güvenlik açığı, düşük ayrıcalıklı bir saldırganın yetkisiz dosya işlemleri gerçekleştirmesine izin verir.
Bu, saldırganın hassas sistem dosyalarını okumasını, değiştirmesini veya silmesini sağlayarak sistemin güvenliği üzerinde önemli bir etkiye yol açabilir.
ABAP ve ABAP platformunda olduğu gibi SAP NetWeaver’da bir dizin geçiş kusuru olan daha önce açıklanmış bir kritik güvenlik açığı olan CVE-2023-27500 için bir güncelleme yapıldı.
CVSS skoru 9.6 ile, bu güvenlik açığı, kritik sistem dosyalarının üzerine yazma ayrıcalıklarına sahip bir saldırgan tarafından potansiyel olarak sistem çapında kesintiye ve veri bozulmasına neden olabilir.
Dördüncü kritik güvenlik açığı olan CVE-2025-42958, SAP NetWeaver’da CVSS skoru 9.1 ile derecelendirilmiş eksik bir kimlik doğrulama kontrolüdür.
Bu güvenlik açığı, kimlik doğrulama mekanizmalarını atlamak için son derece ayrıcalıklı bir saldırgan tarafından kullanılabilir ve bunlara kritik işlevlere ve verilere yetkisiz erişim sağlar.
Yüksek öncelikli kusurlar ve diğer yamalar
Kritik sorunlara ek olarak, SAP birkaç yüksek öncelikli güvenlik açıklarını yamaladı. Bunlar şunları içerir:
- CVE-2025-42933: CVSS puanı 8.8 ile SAP Business One’da (SLD) hassas bilgi kusurunun güvensiz bir şekilde depolanması.
- CVE-2025-42929: SAP Peyzaj Dönüşüm Çoğaltma Sunucusunda Eksik Giriş Doğrulama Güvenlik Açığı, 8.1 olarak.
- CVE-2025-42916: SAP S/4HANA’da benzer bir eksik giriş doğrulama kusuru, ayrıca 8.1 CVSS ile.
- Bir güncelleme CVE-2025-27428SAP NetWeaver ve ABAP platformunda bir dizin geçiş güvenlik açığı 7.7 CVSS puanı taşıyor.
Kalan yamalar, SAP Commerce Cloud, SAP BusinessObjects ve birkaç Fiori uygulaması gibi bir dizi SAP ürününde, siteler arası komut dosyası (XSS), Hizmet Reddetme (DOS) ve eksik yetkilendirme kontrolleri dahil olmak üzere orta ve düşük şiddetin güvenlik açıklarını ele alır.
SAP’nin Eylül 2025 Patch Günü’nde yayınlanan 25 güvenlik notundan 21’i yeniydi. İşte bu güvenlik açıklarını detaylandıran bir tablo:
| SAP Not # | CVE kimliği | Güvenlik Açığı Başlığı | Etkilenen ürün | Öncelik | CVSS 3.0 skoru |
|---|---|---|---|---|---|
| 3634501 | CVE-2025-42944 | SAP NetWeaver’da Güvensiz Sealizasyon Güvenlik Açığı (RMI-P4) | SAP NetWeaver (RMI-P4) | Eleştirel | 10.0 |
| 3643865 | CVE-2025-42922 | SAP NetWeaver’da Java olarak Güvensiz Dosya İşlemleri Güvenlik Açığı (Web Hizmeti Dağıtım) | Java olarak SAP NetWeaver (Web Hizmeti Dağıtım) | Eleştirel | 9.9 |
| 3627373 | CVE-2025-42958 | SAP NetWeaver’da Eksik Kimlik Doğrulama Kontrolü | SAP Netweaver | Eleştirel | 9.1 |
| 3642961 | CVE-2025-42933 | SAP Business One’da (SLD) hassas bilgilerin güvensiz depolanması | SAP Business One (SLD) | Yüksek | 8.8 |
| 3633002 | CVE-2025-42929 | SAP Peyzaj Dönüşüm Çoğaltma Sunucusunda Eksik Girdi Doğrulama Güvenlik Açığı | SAP Peyzaj Dönüşüm Çoğaltma Sunucusu | Yüksek | 8.1 |
| 3635475 | CVE-2025-42916 | SAP S/4HANA’da (özel bulut veya şirket içi) eksik giriş doğrulama güvenlik açığı | SAP S/4HANA (özel bulut veya şirket içi) | Yüksek | 8.1 |
| 3620264 | CVE-2025-22228 | SAP Commerce Cloud ve SAP Datahub içinde Bahar Güvenliğinde Güvenlik Yanlış Yapılandırma Güvenlik Açığı | SAP Commerce Cloud ve SAP Datahub | Orta | 6.6 |
| 3614067 | CVE-2025-42930 | SAP iş planlaması ve konsolidasyonunda hizmet reddi (DOS) güvenlik açığı | SAP iş planlaması ve konsolidasyonu | Orta | 6.5 |
| 3635587 | CVE-2025-42912, CVE-2025-42913, CVE-2025-42914 | SAP HCM’de Eksik Yetkilendirme Kontrolü (Fiori 2.0 zaman çizelgem) | SAP HCM (Fiori 2.0 zaman çizelgem) | Orta | 6.5 |
| 3643832 | CVE-2025-42917 | SAP HCM’de Eksik Yetkilendirme Kontrolü (Zaman Çizelgelerini Onaylama Fiori 2.0 Uygulaması) | SAP HCM (Zaman Çizelgelerini Onaylama Fiori 2.0 Uygulaması) | Orta | 6.5 |
| 3611420 | CVE-2023-5072 | SAP BusinessObjects Business Intelligence Platformunda kullanılan eski JSON Kütüphanesi nedeniyle Hizmet Reddetme (DOS) Güvenlik Açığı | SAP BusinessObjects Business Intelligence Platformu | Orta | 6.5 |
| 3647098 | CVE-2025-42920 | SAP Tedarikçi İlişki Yönetiminde Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı | SAP Tedarikçi İlişki Yönetimi | Orta | 6.1 |
| 3629325 | CVE-2025-42938 | SAP NetWeaver ABAP Platformunda Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı | SAP NetWeaver ABAP Platformu | Orta | 6.1 |
| 3409013 | CVE-2025-42915 | Eksik Yetkilendirme Fiori Uygulamasında Kontrol (Ödeme Bloklarını Yönetin) | Fiori uygulaması (ödeme bloklarını yönetin) | Orta | 5.4 |
| 3619465 | CVE-2025-42926 | SAP NetWeaver Uygulama Sunucusu Java’da Eksik Kimlik Doğrulama Kontrolü | SAP NetWeaver Uygulama Sunucusu Java | Orta | 5.3 |
| 3627644 | CVE-2025-42911 | SAP NetWeaver’da Eksik Yetkilendirme Kontrolü (Hizmet Verileri İndir) | SAP NetWeaver (Hizmet Verileri İndir) | Orta | 5.0 |
| 3640477 | CVE-2025-42925 | Java (IIOP Service) olarak SAP NetWeaver’da öngörülebilir nesne tanımlayıcı güvenlik açığı | Java olarak SAP NetWeaver (IIOP Service) | Orta | 4.3 |
| 3450692 | CVE-2025-42923 | SAP FIORI APP’de Siteler Arası Talep Arıtma (CSRF) Güvenlik Açığı (F4044 İş Merkezi Gruplarını Yönetin) | SAP FIORI APP (F4044 İş Merkezi Gruplarını Yönetin) | Orta | 4.3 |
| 3623504 | CVE-2025-42918 | ABAP için SAP NetWeaver Uygulama Sunucusunda Eksik Yetkilendirme Kontrolü (Arka Plan İşleme) | ABAP için SAP NetWeaver Uygulama Sunucusu (Arka Plan İşleme) | Orta | 4.3 |
| 3525295 | CVE-2025-42927 | Java (Adobe Belge Hizmeti) olarak SAP NetWeaver’daki modası geçmiş OpenSSL sürümü nedeniyle bilgi açıklaması | Java olarak SAP NetWeaver (Adobe Belge Hizmeti) | Düşük | 3.4 |
| 3632154 | CVE-2024-13009 | SAP Commerce Cloud’da Potansiyel Yanlış Kaynak Sürümü Güvenlik Açığı | SAP Commerce Bulutu | Düşük | 3.1 |
SAP yöneticilerine güvenlik notlarının tam listesini gözden geçirmeleri ve sistemlerini potansiyel sömürüden korumak için kritik güvenlik açıklarından başlayarak yamaların uygulanmasına öncelik vermeleri tavsiye edilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.