SAP, Temmuz 2025 Güvenlik Yaması Günü güncellemesini yayınladı ve kurumsal yazılım portföyü boyunca önemli sayıda güvenlik açığını ele aldı.
Kapsamlı güvenlik güncellemesi, CVSS puanlarına göre kritik olarak sınıflandırılan yedi güvenlik açığı ile daha önce yayınlanan yamalara 27 yeni güvenlik notu ve 3 güncelleme içerir.
SAP tedarikçisi ilişki yönetimini (canlı açık artırma kokpiti) etkileyen en şiddetli güvenlik açığı, dünya çapında SAP ortamlarında acil yamalama ihtiyacını gösteren maksimum CVSS puanı 10.0 aldı.
Key Takeaways
1. SAP released 27 new Security Notes plus 3 updates on July 8, 2025.
2. Seven critical vulnerabilities identified, with CVE-2025-30012 scoring maximum CVSS 10.0.
3. Affects major SAP products including S/4HANA, NetWeaver, ABAP Platform, and SAPCAR.
4. Immediate patch deployment is recommended for critical authentication and injection vulnerabilities.
Kritik SAP SRM güvenlik açığı (CVE-2025-30012)
Bu yama döngüsünde tanımlanan yedi kritik güvenlik açıkları, SAP ortamları için önemli riskler oluşturmaktadır ve anında idari eylem gerektirir.
En şiddetli tehdit, SRM_Server sürüm 7.14’ü etkileyen SAP tedarikçisi ilişki yönetiminde (canlı açık artırma kokpiti) çoklu bir güvenlik açığı sorunu olan CVE-2025-30012’den geliyor.
Güvenlik açığı, özellikle 10.0 maksimum CVSS puanı nedeniyle, tam sistem uzlaşması potansiyeli olan sistemler için son derece yüksek bir risk sunduğunu göstermektedir.
Güvenlik açığı, CVE-2025-30009, CVE-2025-30010, CVE-2025-30011 ve CVE-2025-30018 dahil olmak üzere birçok ilgili CVE’yi kapsayan daha geniş bir güvenlik endişesinin bir parçasıdır.
Bu birbirine bağlı doğa, güvenlik açığının canlı açık artırma kokpitindeki çoklu bileşenleri veya işlevleri etkilediğini ve potansiyel olarak kötü niyetli aktörlerin aynı anda sömürebileceği birden fazla saldırı vektörü oluşturduğunu göstermektedir.
Altı ek kritik kusur
CVSS ölçeğinde 9.1 puan alan altı ek kritik güvenlik açığı, SAP altyapısının çeşitli bileşenlerini hedeflemektedir.
CVE-2025-42967, SAP S/4HANA ve SAP SCM’de (karakteristik yayılma) bir kod enjeksiyon güvenlik açığı ele alır ve SCMAPO 713-714, S4Core 102-104 ve S4Coreop 105-108 dahil olmak üzere birçok versiyonu etkiler.
Kalan kritik güvenlik açıkları, Federated Portal Ağında CVE-2025-42980, Portal Yönetiminde, CVE-2025-42980 dahil olmak üzere SAP NetWeaver Enterprise Portal bileşenlerinde, CVE-2025-42966’da CVE-42963 de dahil olmak üzere, XML veri arşivleme hizmeti için ve XML veri arşivleme hizmeti ve XML veri arşivleme hizmetine odaklanmaktadır. Ortamlar.
Yüksek ve orta şiddet kusurları
Yüksek öncelikli güvenlik açıkları, 700 ila 915 arasında değişen birden fazla SAP_BASIS sürümünde SAP NetWeaver ABAP sunucusunda ve ABAP platformunda eksik kimlik doğrulama kontrollerini ele alan CVE-2025-42959’dur.
Bu güvenlik açığı CVSS ölçeğinde 8.1 puan alır ve çok çeşitli SAP kurulumlarını etkiler.
Orta öncelikli güvenlik açıkları, SAP NetWeaver Uygulama Sunucusu ABAP ve CVE-2025-42962’de CVE-2025-42969 gibi SAP Business Warehouse’da CVE-2025-42969 gibi çeşitli güvenlik sorunlarını kapsamaktadır.
SAPCAR’ı (CVE-2025-42970) ve ayrıcalık yükseltme sorunlarını (CVE-2025-43001) etkileyen dizin geçiş güvenlik açıkları bu güvenlik güncellemesinin kapsamlı doğasını daha da göstermektedir.
SAP paket yönetimi için gerekli olan SAPCAR yardımcı programı, bellek yolsuzluğu (CVE-2025-42971) ve güvensiz dosya işlemleri dahil olmak üzere birden fazla güvenlik endişesini ele almak için 7.53 ve 7.22EXT sürümlerinde dikkat gerektirir.
| Cves | Ürün | Tip | CVSS 3.1 puanı |
| CVE-2025-30012 | SAP Tedarikçi İlişki Yönetimi (Canlı Açık Artırma Kokpiti) | Birden fazla güvenlik açıklaması | 10.0 (kritik) |
| CVE-2025-42967 | SAP S/4HANA ve SAP SCM (karakteristik yayılma) | Kod enjeksiyonu | 9.1 (kritik) |
| CVE-2025-42980 | SAP NetWeaver Enterprise Portal Federasyonlu Portal Ağı | Güvensiz seansizasyon | 9.1 (Kritik) |
| CVE-2025-42964 | SAP NetWeaver Enterprise Portal Yönetimi | Güvensiz seansizasyon | 9.1 (kritik) |
| CVE-2025-42966 | SAP NetWeaver (XML veri arşivleme hizmeti) | Güvensiz Java Desarizasyonu | 9.1 (kritik) |
| CVE-2025-42963 | Java için SAP NetWeaver Uygulama Sunucusu (Günlük Görüntüleyicisi) | Güvensiz Java Desarizasyonu | 9.1 (kritik) |
| CVE-2025-42959 | SAP NetWeaver ABAP Sunucusu ve ABAP Platformu | Eksik Kimlik Doğrulama Kontrolü | 8.1 (Yüksek) |
| CVE-2025-42953 | ABAP için SAP NetWeaver Uygulama Sunucusu | Eksik Yetkilendirme Kontrolü | 8.1 (Yüksek) |
| CVE-2024-53677 | SAP Business Nesneler Business Zeka Platformu (CMC) | Güvensiz dosya işlemleri | 8.0 (yüksek) |
| CVE-2025-42952 | SAP Business Deposu ve SAP eklentisi | Eksik Yetkilendirme Kontrolü | 7.7 (yüksek) |
| CVE-2025-42977 | SAP Netweaver Visual Bester | Dizin geçişi | 7.6 (yüksek) |
| CVE-2025-43001 | Çukur | Çoklu ayrıcalık yükseltme | 6.9 (Orta) |
| CVE-2025-42993 | SAP S/4HANA (Kurumsal Etkinlik Etkinleştirme) | Eksik Yetkilendirme Kontrolü | 6.7 (Orta) |
| CVE-2025-42981 | SAP NetWeaver Uygulama Sunucusu ABAP | Birden fazla güvenlik açıklaması | 6.1 (Orta) |
| CVE-2025-42969 | SAP NetWeaver Uygulama Sunucusu ABAP ve ABAP Platformu | Siteler Arası Komut Dosyası (XSS) | 6.1 (Orta) |
| CVE-2025-42962 | SAP Business Warehouse (Business Explorer Web 3.5 Yükleme Animasyonu) | Siteler Arası Komut Dosyası (XSS) | 6.1 (Orta) |
| CVE-2025-42985 | SAP BusinessObjects İçerik Yöneticisi Workbench | Açık yönlendirme | 6.1 (Orta) |
| CVE-2025-42970 | Çukur | Dizin geçişi | 5.8 (Orta) |
| CVE-2025-42979 | Windows için SAP GUI | Güvensiz Anahtar ve Gizli Yönetim | 5.6 (Orta) |
| CVE-2025-42973 | SAP Veri Hizmetleri (DQ Raporu) | Siteler Arası Komut Dosyası (XSS) | 5.4 (Orta) |
| CVE-2025-42968 | SAP NetWeaver (RFC Etkin Fonksiyon Modülü) | Eksik Yetkilendirme Kontrolü | 5.0 (Orta) |
| CVE-2025-42961 | ABAP için SAP NetWeaver Uygulama Sunucusu | Eksik Yetkilendirme Kontrolü | 4.9 (Orta) |
| CVE-2025-42960 | SAP Business Warehouse ve SAP BW/4HANA BEX ARAÇLARI | Eksik Yetkilendirme Kontrolü | 4.3 (Orta) |
| CVE-2025-42986 | SAP NetWeaver ve ABAP Platformu | Eksik Yetkilendirme Kontrolü | 4.3 (Orta) |
| CVE-2025-42974 | SAP NetWeaver ve ABAP Platformu (SDCCN) | Eksik Yetkilendirme Kontrolü | 4.3 (Orta) |
| CVE-2025-31326 | SAP BusinessObjects Business Intelligence Platform (Web İstihbaratı) | HTML enjeksiyonu | 4.1 (Orta) |
| CVE-2025-42965 | SAP BusinessObjects Bi Platform Merkezi Yönetim Konsolu Tanıtım Yönetimi Uygulaması | Sunucu Tarafı İsteği Acı (SSRF) | 4.1 (Orta) |
| CVE-2025-42971 | Çukur | Hafıza Yolsuzluğu | 4.0 (Orta) |
| CVE-2025-42978 | SAP NetWeaver Uygulama Sunucusu Java | Giden TLS Bağlantıları için Yeterince Güvenli Ana Bilgisayar Adı Doğrulaması | 3.5 (düşük) |
| CVE-2025-42954 | SAP NetWeaver Business Warehouse (CCAW uygulaması) | Hizmet Reddi (DOS) | 2.7 (düşük) |
Anında yama gerekli
SAP, özellikle belirlenen güvenlik açıklarının şiddeti göz önüne alındığında, bu güvenlik yamalarının hemen uygulanmasının kritik önemini vurgulamıştır.
Şirket, müşterilerin destek portalını ziyaret etmelerini ve SAP manzaralarını potansiyel güvenlik ihlallerinden korumak için yama uygulamasına öncelik vermesini şiddetle tavsiye ediyor.
Etkilenen ürünlerin geniş kapsamı, SAP_BASIS bileşenlerinden Business nesneleri iş zekası platformu gibi özel uygulamalara kadar değişen kapsamlı yama yönetimi stratejilerinin öneminin altını çizmektedir.
Güncellemeler, tüm SAP ortamlarını tehlikeye atabilecek kimlik doğrulama baypasları, yetkilendirme hataları ve enjeksiyon güvenlik açıkları dahil olmak üzere temel güvenlik endişelerini ele almaktadır.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt