SAP, 13 yeni güvenlik açığını gideren ve önceki dört notu güncelleyen Ekim 2025 Güvenlik Yaması Günü düzeltmelerini yayınladı; NetWeaver’daki bazı kritik kusurlar, saldırganların yetkilendirmeyi atlatmasına ve etkilenen sistemlerde rastgele işletim sistemi komutları çalıştırmasına olanak tanıyor.
Bunlardan en endişe verici olanı, SAP NetWeaver AS Java’nın RMI-P4 modülündeki güvenli olmayan bir seri durumdan çıkarma sorunu olan CVE-2025-42944’tür ve kimlik doğrulaması yapılmamış uzaktaki saldırganlara herhangi bir oturum açma bilgisi olmadan tam kontrol verme potansiyeli nedeniyle 10,0 gibi mükemmel bir CVSS puanıyla derecelendirilmiştir.
İlk olarak Eylül ayında yamalanan ancak artık ekstra güvenlik önlemleriyle desteklenen bu güvenlik açığı, küresel iş operasyonlarını destekleyen SAP ortamlarına yönelik devam eden risklerin altını çiziyor ve potansiyel olarak veri ihlallerine, fidye yazılımı dağıtımına veya sistemin tamamen ele geçirilmesine yol açabilir.
Kritik Seriden Çıkarma Kusuru Uzaktan Devralmaya İzin Verir
Temel tehdit, SAP NetWeaver’ın seri hale getirilmiş Java nesnelerini, genellikle 50004 veya 50014 gibi bağlantı noktalarında açığa çıkan, yetersiz doğrulamanın kötü amaçlı yüklerin seri durumdan çıkarılmasına ve doğrudan sunucuda yürütülmesine izin verdiği özel RMI-P4 protokolü üzerinden nasıl işlediğinden kaynaklanıyor.
Saldırganlar, tüm kimlik doğrulama kontrollerini atlayarak ve genellikle kurumsal kurulumlarda yükseltilmiş erişimle çalışan NetWeaver işleminin ayrıcalıklarıyla isteğe bağlı işletim sistemi komutlarının yürütülmesini tetikleyerek bu yükleri ağ üzerinden uzaktan oluşturabilir.
Onapsis Araştırma Laboratuvarları bu riski tanımlamak için SAP ile işbirliği yaptı ve bu istismarın kullanıcı etkileşimi gerektirmediğini ve bağlantılı SAP ortamlarında gizlilik, bütünlük ve kullanılabilirliği tehlikeye atabileceğini belirtti.
Etkilenen sürümler arasında SERVERCORE 7.50 yer alıyor ve henüz kamuya açık bir kavram kanıtı mevcut olmasa da, kusurun basitliği, onu yama uygulanmamış sistemleri tarayan tehdit aktörleri için birincil hedef haline getiriyor.
SAP’nin 3660659 ve 3634501 no’lu notlara yönelik Ekim ayı güncellemesi, tehlikeli sınıfın seri durumdan çıkarılmasını engellemek için JVM çapında bir filtre (jdk.serialFilter) sunar ve korumaları, kod yürütülmesine yol açan gadget zincirlerini önlemek için güvenlik uzmanlarıyla geliştirilen zorunlu ve isteğe bağlı listelere böler.
Bununla birlikte, eski NetWeaver sürümlerinde (SAP_ABA 700 ila 75I) bir yetkilendirme atlaması olan CVE-2025-31331 gibi tamamlayıcı sorunlar, tehlikeyi daha da artırıyor ve düşük ayrıcalıklı kullanıcıların kısıtlı işlevlere erişmesine ve potansiyel olarak komut enjeksiyonuna yükselmesine olanak tanıyor.
3441087 no’lu nota yapılan bir başka güncelleme, SAP S/4HANA’nın satın alma sözleşmesi yönetimindeki eksik kontrolleri kapsarken CVE-2025-42901, ABAP sunucularında BAPI Tarayıcısı aracılığıyla kod enjeksiyonuna olanak tanıyarak kimliği doğrulanmış kullanıcıların kod akışlarını değiştirmesine ve hassas verileri açığa çıkarmasına olanak tanır [query].
CVSS puanlarının 4,3 ile 5,4 arasında olduğu bu kusurlar, daha derin izinsiz girişler için seri durumdan çıkarma açıklarından yararlanabilecek erişim kontrollerindeki kalıcı boşlukları vurgulamaktadır.
NetWeaver’ın ötesinde yama günü, SAP Print Service sürüm 8.00 ve 8.10’da kimlik doğrulamasız dosya üzerine yazma işlemlerine olanak tanıyan 9.8 dereceli bir dizin geçişi olan CVE-2025-42937 ve Tedarikçi İlişkileri Yönetimi’nde sistem güvenliğinin ihlal edilmesine yol açan bir dosya yükleme güvenlik açığı olan CVE-2025-42910 gibi ilgili yüksek önem dereceli sorunları ele alıyor.
| CVE Kimliği | Not Kimliği | Ürün | Etkilenen Sürümler | Şiddet | CVSS Puanı | Tanım |
|---|---|---|---|---|---|---|
| CVE-2025-42944 | 3660659, 3634501 (güncelleme) | SAP NetWeaver AS Java (RMI-P4) | SERVERCORE 7.50 | Kritik | 10,0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) | Açık bağlantı noktalarındaki kötü amaçlı yükler aracılığıyla kimliği doğrulanmamış uzaktan kod yürütülmesine olanak tanıyan güvenli olmayan seri durumdan çıkarma. |
| CVE-2025-42937 | 3630595 | SAP Yazdırma Hizmeti | SAPSPRINT8.00, 8.10 | Kritik | 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) | Yetersiz yol doğrulaması nedeniyle dizin geçişi, kimliği doğrulanmamış dosyaların üzerine yazılmasına olanak tanıyor. |
| CVE-2025-42910 | 3647332 | SAP Tedarikçi İlişkileri Yönetimi | SRMNXP01 100, 150 | Kritik | 9,0 (AV: N/AC: L/PR: L/UI: R/S: C/C: H/I: H/A: H) | Sınırsız dosya yükleme, kimliği doğrulanmış kullanıcıların kullanıcı etkileşimiyle sistem güvenliğini aşmasına olanak tanır. |
| CVE-2025-5115 | 3664466 | SAP Commerce Cloud (Arama ve Gezinme) | HY_COM 2205, COM_CLOUD 2211, 2211-JDK21 | Yüksek | 7,5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) | Arama işlevinde kaynak tükenmesi nedeniyle hizmet reddi. |
| CVE-2025-48913 | 3658838 | SAP Veri Merkezi Entegrasyon Paketi | CX_DATAHUB_INT_PACK 2205 | Yüksek | 7.1 (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H) | Kullanıcı etkileşimi ile bitişik ağlar üzerinden hassas verilerin açığa çıkmasına neden olan güvenlik yanlış yapılandırması. |
| CVE-2025-0059 | 3503138 (güncelleme) | SAP NetWeaver Uygulama Sunucusu ABAP (HTML için SAP GUI) | KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12, 9.14 | Orta | 6,0 (AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N) | İstemci tarafı giriş geçmişinin yüksek ayrıcalıklı yerel saldırganlara açıklanması. |
| CVE-2025-42901 | 3652788 | ABAP için SAP Uygulama Sunucusu (BAPI Tarayıcı) | SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816 | Orta | 5.4 (AV: N/AC: L/PR: L/UI: N/S: U/C: L/I: L/A: N) | Düşük ayrıcalıklı kullanıcıların kod yürütme akışlarını değiştirmesine olanak tanıyan kod enjeksiyonu. |
| CVE-2025-42908 | 3642021 | ABAP için SAP NetWeaver Uygulama Sunucusu | KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16 | Orta | 5.4 (AV: N/AC: L/PR: L/UI: N/S: U/C: L/I: L/A: N) | İlk ekran kontrollerini atlayarak, tutarsız oturum yönetimi yoluyla siteler arası istek sahteciliği. |
| CVE-2025-42984 | 3441087 (güncelleme) | SAP S/4HANA (Merkezi Satın Alma Sözleşmesini Yönetin) | S4CORE 106, 107, 108 | Orta | 5.4 (AV: N/AC: L/PR: L/UI: N/S: U/C: L/I: N/A: L) | Hassas satın alma işlevlerine düşük ayrıcalıklı erişime izin veren eksik yetkilendirme kontrolleri. |
| CVE-2025-42906 | 3634724 | SAP Ticaret Bulutu | COM_CLOUD 2211 | Orta | 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) | Kimlik doğrulama olmadan sınırlı dosya okumalarını açığa çıkaran dizin geçişi. |
| CVE-2025-42902 | 3627308 | SAP NetWeaver AS ABAP ve ABAP Platformu | KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53; ÇEKİRDEK 7,22, 7,53, 7,54, 7,77, 7,89, 7,93, 9,14, 9,15, 9,16 | Orta | 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) | Bilet doğrulamasında bellek bozulması, kimliği doğrulanmamış hizmet reddine yol açıyor. |
| CVE-2025-42939 | 3625683 | SAP S/4HANA (Banka Ekstreleri İçin İşleme Kurallarını Yönetin) | S4CORE 104, 105, 106, 107, 108, 109 | Orta | 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N) | Yetki eksikliği, düşük ayrıcalıklı kullanıcıların banka ekstresi kurallarını değiştirmesine olanak tanıyor. |
| CVE-2025-31331 | 3577131 (güncelleme) | SAP NetWeaver | SAP_ABA 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G, 75H, 75I | Orta | 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N) | Kısıtlanmış NetWeaver işlevlerine düşük ayrıcalıklı erişimi mümkün kılan yetkilendirme bypass’ı. |
| CVE-2025-42903 | 3656781 | SAP Finansal Hizmet Talep Yönetimi | SİGORTA 803, 804, 805, 806; S4CEXT 107, 108, 109 | Orta | 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N) | Kullanıcı numaralandırma ve RFC işlevleri aracılığıyla hassas verilerin açığa çıkarılması. |
| CVE-2025-31672 | 3617142 | SAP BusinessObjects (Web Zekası ve Platform Araması) | İŞLETME 430, 2025, 2027 | Düşük | 3,5 (AV: N/AC: L/PR: L/UI: R/S: U/C: N/I: L/A: N) | RFC işlevleri aracılığıyla kullanıcı numaralandırma ve hassas verilerin açığa çıkması. |
| CVE-2025-42909 | 3643871 | SAP Cloud Appliance Kütüphane Gereçleri | TITANIUM_WEBAPP 4.0 | Düşük | 3,0 (AV:YOK/AC:Y/PR:H/UI:N/S:C/C:L/I:Yok:Y) | Düşük ayrıcalıklı kullanıcıların etkileşimle bütünlük sorunlarına neden olmasına olanak tanıyan seri durumdan çıkarma kusuru. |
Güvenlik firmaları, son sıfır günlerde görüldüğü gibi, SAP ekosistemlerinde artan istismarlar göz önüne alındığında, çok katmanlı savunmaları vurgulayarak derhal yama yapılmasını talep ediyor.
SAP, görev açısından kritik uygulamalarda gelişen tehditlere karşı koruma sağlamak için müşterilere Destek Portalı aracılığıyla bu güncellemelere öncelik vermelerini önerir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
