SAP, kurumsal yazılım portföyünde, kod yürütme ve veri enjeksiyonuyla ilgili çeşitli kritik kusurlar da dahil olmak üzere 18 yeni güvenlik açığını gideren önemli bir güvenlik güncellemesi yayınladı.
Bu aylık güvenlik yaması gününde, SAP altyapısını kullanan kuruluşların derhal ilgilenmesini gerektiren dört adet yüksek önem dereceli güvenlik açığı bulunuyor.
En ciddi güvenlik açıklarının CVSS puanı 10,0’dır, bu da en yüksek ciddiyeti gösterir.
CVE-2025-42890, SQL Anywhere Monitor’ü (GUI olmayan) etkiler ve güvenli olmayan anahtar ve gizli yönetimi içerir, potansiyel olarak saldırganların kriptografik kimlik bilgilerini tehlikeye atmasına olanak tanır.
SAP NetWeaver AS Java’daki güvenli olmayan bir seri durumdan çıkarma güvenlik açığı olan CVE-2025-42944 de benzer şekilde kritik öneme sahiptir. Bu kusur, kimlik doğrulama veya kullanıcı etkileşimi gerektirmeden uzaktan kod yürütülmesine olanak sağlayabilir.
SAP Solution Manager’daki bir kod ekleme hatası olan CVE-2025-42887’nin CVSS puanı 9,9’dur. Bu güvenlik açığı düşük düzey ayrıcalıklar gerektirse de saldırganların Solution Manager ortamında rastgele kod çalıştırmasına olanak tanıyabilir.
Dördüncü kritik sorun olan CVE-2025-42940, SAP CommonCryptoLib’de yüksek önem derecesi (CVSS ölçeğinde 7,5) olarak derecelendirilen bir bellek bozulması güvenlik açığıdır. Bu, hizmet reddi saldırılarına veya bilgilerin ifşa edilmesine yol açabilir.
| CVE Kimliği | Güvenlik Açığı Türü | Ürün | CVSS | Öncelik |
|---|---|---|---|---|
| CVE-2025-42890 | Güvenli Olmayan Anahtar ve Sır Yönetimi | SQL Anywhere Monitörü (GUI Olmayan) | 10.0 | Kritik |
| CVE-2025-42944 | Güvenli Olmayan Seriden Çıkarma | SAP NetWeaver AS Java | 10.0 | Kritik |
| CVE-2025-42887 | Kod Ekleme | SAP Çözüm Yöneticisi | 9.9 | Kritik |
| CVE-2025-42940 | Bellek Bozulması | SAP CommonCryptoLib | 7.5 | Yüksek |
| CVE-2025-42895 | Kod Ekleme | SAP HANA JDBC İstemcisi | 6.9 | Orta |
| CVE-2025-42892 | İşletim Sistemi Komut Ekleme | SAP İş Bağlayıcısı | 6.8 | Orta |
| CVE-2025-42894 | Yol Geçişi | SAP İş Bağlayıcısı | 6.8 | Orta |
| CVE-2025-42884 | JNDI Enjeksiyonu | SAP NetWeaver Kurumsal Portalı | 6.5 | Orta |
| CVE-2025-42924 | Yönlendirmeyi Aç | SAP S/4HANA E-İşe Alma BSP | 6.1 | Orta |
| CVE-2025-42893 | Yönlendirmeyi Aç | SAP İş Bağlayıcısı | 6.1 | Orta |
| CVE-2025-42886 | Yansıyan XSS | SAP İş Bağlayıcısı | 6.1 | Orta |
| CVE-2025-42885 | Kimlik Doğrulaması Eksik | SAP HANA 2.0 (hdbrss) | 5.8 | Orta |
| CVE-2025-42888 | Bilgi Açıklaması | Windows için SAP GUI | 5.5 | Orta |
| CVE-2025-42889 | SQL Enjeksiyonu | SAP Başlangıç Çözümü (PL SAFT) | 5.4 | Orta |
| CVE-2025-42919 | Bilgi Açıklaması | SAP NetWeaver Uygulama Sunucusu Java | 5.3 | Orta |
| CVE-2025-42897 | Bilgi Açıklaması | SAP Business One (SLD) | 5.3 | Orta |
| CVE-2025-42899 | Eksik Yetkilendirme | SAP S4CORE (Yevmiye Girişlerini Yönet) | 4.3 | Orta |
| CVE-2025-42882 | Eksik Yetkilendirme | SAP NetWeaver Uygulama Sunucusu ABAP | 4.3 | Orta |
| CVE-2025-23191 | Başlık Manipülasyonu Yoluyla Önbellek Zehirlenmesi | SAP ERP için SAP Fiori | 3.1 | Düşük |
| CVE-2025-42883 | Güvenli Olmayan Dosya İşlemleri | SAP NetWeaver ABAP (Geçiş Tezgahı) | 2.7 | Düşük |
Bu kritik güvenlik açıklarına ek olarak SAP, 14 orta ve düşük önemdeki sorunu da ele aldı. Özellikle CVE-2025-42892, SAP Business Connector’da bir işletim sistemi komut ekleme güvenlik açığını açıklamaktadır.
Aynı zamanda CVE-2025-42889, SAP Starter Solution’da SQL eklemeyi ele alarak birden fazla sürümü etkiler.
Şirket ayrıca JNDI ekleme kusurları, açık yönlendirmeler, siteler arası komut dosyası oluşturma ve çeşitli ürünlerdeki eksik kimlik doğrulama kontrolleriyle ilgili sorunları da çözdü.
Etkilenen SAP sistemlerini çalıştıran kuruluşlar, dağıtım mimarilerine göre yama uygulamaya öncelik vermelidir.
Kritik seri durumdan çıkarma ve anahtar yönetimi güvenlik açıkları, ağ üzerinden erişilebilir yapıları ve minimum düzeyde yararlanma gereksinimleri nedeniyle en yüksek riski oluşturur.
SQL Anywhere Monitor ve NetWeaver AS Java ortamlarına acil dikkat gösterilmesi gerekmektedir.
SAP, yöneticilerin SAP Destek Portalı’ndaki güvenlik notlarını incelemesini ve sistemlerine sistematik olarak yamalar uygulamasını önerir.
Şirket, veri bütünlüğünü ve operasyonel güvenliği korumak için güvenli yapılandırmanın gerekli olduğunu vurguluyor. Ek olarak, daha önce yayınlanmış iki güvenlik notu da güncellendi; bu, önceki yamalarda iyileştirmelerin devam ettiğini gösteriyor.
Bu Kasım yama günü, SAP dağıtımlarını güncel tutmanın ve anında yama uygulamanın mümkün olmadığı durumlarda telafi edici kontroller uygulamanın önemini vurguluyor.
Kuruluşlar, güvenlik aciliyeti ile operasyonel istikrarı dengeleyen dağıtım stratejileri geliştirmek için SAP destek ekipleriyle işbirliği yapmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.