SAP, NetWeaver yazılım çözümünü etkileyen üç kritik şiddet sorunu da dahil olmak üzere ürünlerini etkileyen 21 yeni güvenlik açıkına değinmiştir.
SAP NetWeaver, SAP’nin ERP, CRM, SRM ve SCM gibi iş uygulamalarının temelidir ve büyük kurumsal ağlarda geniş ölçüde dağıtılan modüler bir katman yazılımı görevi görür.
Eylül ayı güvenlik bülteninde, Kurumsal Kaynak Planlaması (ERP) yazılımı sağlayıcısı, CVE-2025-42944 olarak tanımlanan 10 üzerinden 10’luk 10’luk bir şiddet puanı olan bir güvenlik açığını listeler.
Güvenlik sorunu, SAP NetWeaver (RMIP4), ServerCore 7.50’de güvensiz bir seansizasyon güvenlik açığıdır.
Kimliği doğrulanmamış bir saldırgan, RMI-P4 modülü aracılığıyla açık bir bağlantı noktasına kötü niyetli bir Java nesnesi göndererek keyfi OS komutu yürütme elde etmek için onu kullanabilir.
RMI-P4, SAP NetWeaver tarafından dahili SAP-SAP iletişimi veya uygulama için Java olarak kullanılan uzaktan yöntem çağırma protokolüdür.
P4 bağlantı noktası ana bilgisayarda açık olmasına rağmen, bazı kuruluşlar güvenlik duvarı veya diğer yanlış yapılandırmalar nedeniyle yanlışlıkla daha geniş ağlara veya internete maruz bırakabilir.
Güvenlik bültenine göre, bu ay sabit ikinci kritik kusur SAP, NetWeaver’ı Java (Web Hizmeti Dağıtım) olarak etkileyen güvensiz bir dosya işlemi hatası olan CVE-2025-42922 (CVSS v3.1 puanı: 9.9), J2EE-APPS 7.50.
Tutarsız kimlik doğrulamalı erişimi olan bir saldırgan, keyfi dosyaları yüklemek için web hizmeti dağıtım işlevinde bir kusurdan yararlanarak potansiyel olarak tam sistem uzlaşmasına izin verebilir.
Üçüncü kusur, CVE-2025-42958 (CVSS v3.1 skoru: 9.1) altında izlenen NetWeaver’da eksik bir kimlik doğrulama kontrolüdür.
Bu güvenlik açığı, yetkisiz yüksek ayrıcalıklı kullanıcıların hassas verileri okumasına, değiştirmesine veya silmesine ve idari işlevselliğe erişmesine izin verir.
SAP ayrıca aşağıdaki yeni yüksek şiddetli kusurları da ele aldı:
- CVE-2025-42933 (SAP Business One SLD): Çıkarılabilen ve istismar edilebilen hassas verilerin (örneğin, kimlik bilgilerinin) güvensiz depolanması.
- CVE-2025-42929 (SLT Çoğaltma Sunucusu): Kötü niyetli girişin kopyalanmasına veya çoğaltılmış verileri manipüle etmesine izin veren giriş doğrulaması eksik.
- CVE-2025-42916 (S/4HANA): Temel bileşenlerde eksik giriş validasyonu, yetkisiz veri manipülasyonu riskiyle.
Büyük kuruluşlar tarafından konuşlandırılan ve genellikle kritik verileri ele alan SAP ürünleri, genellikle yüksek değerli uzlaşma isteyen tehdit aktörleri tarafından hedeflenir.
Bu ayın başlarında, bilgisayar korsanlarının CVE-2025-42957 olarak izlenen kritik bir kod enjeksiyon kırılganlığından yararlandığı ve S/4HANA, Business One ve NetWeaver ürünlerini etkilediği ortaya çıktı.
Sistem yöneticilerinin, SAP hesabı olan müşteriler için burada bulunan (1, 2, 3) üç kritik kusur için yama ve hafifletme önerilerini izlemeleri önerilir.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.