SAP Yamaları Kritik Netweaver (10.0’a kadar CVSS) ve daha önce S/4HANA Kusurları’ndan yararlanmış

   Eylül 10, 2025  Posted in TheHackerNews


10 Eylül 2025Ravie LakshmananYazılım Güvenliği / Güvenlik Açığı

SAP Salı günü, SAP NetWeaver’da kod yürütme ve keyfi dosyalar yüklemeye neden olabilecek üç kritik güvenlik açığı da dahil olmak üzere birden fazla güvenlik kusurunu ele almak için güvenlik güncellemeleri yayınladı.

Güvenlik açıkları aşağıda listelenmiştir –

  • CVE-2025-42944 (CVSS Puanı: 10.0) – SAP NetWeaver’da, kimliği doğrulanmamış bir saldırganın RMI -P4 modülü üzerinden açık bir bağlantı noktasına kötü amaçlı bir yük göndermesine izin verebilecek ve işletim sistemi komutu yürütülmesine neden olabilecek bir seans oluşturma güvenlik açığı
  • CVE-2025-42922 (CVSS Puanı: 9.9) – SAP NetWeaver’da Java olarak Güvensiz Bir Dosya İşlemleri Güvenlik Açığı, Yönetici olmayan bir kullanıcı olarak kimlik doğrulamasına izin verebilecek bir saldırganın keyfi bir dosya yüklemesine izin verebilecek
  • CVE-2025-42958 (CVSS Puanı: 9.1) – IBM i serisindeki SAP NetWeaver uygulamasında, son derece ayrıcalıklı yetkisiz kullanıcıların hassas bilgileri okumasına, değiştirmesine veya silmesine izin verebilecek eksik kimlik doğrulama kontrolü güvenlik açığı
Denetim ve ötesi

“[CVE-2025-42944] Eklenmemiş bir saldırganın açık bir bağlantı noktasına kötü amaçlı bir yük göndererek keyfi OS komutları yürütmesine izin verir, “dedi Onapsis.” Başarılı bir istismar uygulamanın tam olarak uzlaşmasına yol açabilir. Geçici bir çözüm olarak, müşteriler bilinmeyen ana bilgisayarların P4 bağlantı noktasına bağlanmasını önlemek için ICM seviyesine P4 bağlantı noktası filtrelemesi eklemelidir. “

SAP tarafından da ele alınan SAP S/4HANA’da (CVE-2025-42916, CVSS Puan: 8.1), ABAP raporlarına yüksek ayrıcalık erişimine sahip bir saldırganın keyfi veritabanının içeriğini silmek için bir yetkilendirme grubu tarafından korunmaması durumunda yüksek aralıklı bir eksik giriş doğrulama hatasıdır.

Yamalar, SecurityBridge ve Pathlock’un SAP S/4HANA’da geçen ay şirket tarafından sabitlenen kritik bir güvenlik kusurunun (CVE-2025-42957, CVSS skoru: 9.9) vahşi doğada aktif sömürü altına girdiğini açıkladıktan günler sonra gelir.

Yeni açıklanan sorunların kötü aktörler tarafından silahlandırıldığına dair bir kanıt olmasa da, kullanıcıların optimum koruma için gerekli güncellemeleri mümkün olan en kısa sürede uygulamak için hareket etmeleri önemlidir.



Source link