SAP, SAP NetWeaver AS Java’da rastgele komut yürütülmesine neden olabilecek maksimum önem derecesine sahip bir hata için ek güçlendirme de dahil olmak üzere 13 yeni güvenlik sorunu için güvenlik düzeltmeleri yayınladı.
CVE-2025-42944 olarak takip edilen güvenlik açığının CVSS puanı 10,0’dır. Bu, güvenli olmayan bir seri durumdan çıkarma durumu olarak tanımlandı.
CVE.org’daki bayrağın açıklamasına göre, “SAP NetWeaver’daki seri durumdan çıkarma güvenlik açığı nedeniyle, kimliği doğrulanmamış bir saldırgan, açık bir bağlantı noktasına kötü amaçlı bir yük göndererek RMI-P4 modülü aracılığıyla sistemi istismar edebilir.”
“Bu tür güvenilmeyen Java nesnelerinin seri durumdan çıkarılması, keyfi işletim sistemi komutlarının yürütülmesine yol açarak uygulamanın gizliliği, bütünlüğü ve kullanılabilirliği üzerinde büyük bir etki yaratabilir.”
Güvenlik açığı ilk olarak geçen ay SAP tarafından ele alınsa da güvenlik şirketi Onapsis, en son düzeltmenin seri durumdan çıkarmanın oluşturduğu riske karşı ekstra güvenlik önlemleri sağladığını söyledi.
“Ek koruma katmanı, özel sınıfların seri durumdan çıkarılmasını önleyen JVM çapında bir filtrenin (jdk.serialFilter) uygulanmasına dayanmaktadır” dedi. “Engellenecek önerilen sınıfların ve paketlerin listesi ORL ile işbirliği içinde tanımlandı ve zorunlu bir bölüm ve isteğe bağlı bir bölüme ayrılmıştır.”
Dikkat edilmesi gereken bir diğer kritik güvenlik açığı, SAP Yazdırma Hizmeti’nde yetersiz yol doğrulamanın bir sonucu olarak ortaya çıkan ve kimliği doğrulanmamış bir saldırganın ana dizine erişmesine ve sistem dosyalarının üzerine yazmasına olanak tanıyan bir dizin geçiş kusuru olan CVE-2025-42937’dir (CVSS puanı: 9,8).
SAP tarafından yamalanan üçüncü kritik kusur, SAP Tedarikçi İlişkileri Yönetimi’ndeki (CVE-2025-42910, CVSS puanı: 9,0) bir saldırganın, uygulamanın gizliliğini, bütünlüğünü ve kullanılabilirliğini etkileyebilecek kötü amaçlı yürütülebilir dosyalar da dahil olmak üzere rastgele dosyalar yüklemesine izin verebilecek sınırsız bir dosya yükleme hatasıyla ilgilidir.
Bu kusurların yaygın olarak kullanıldığına dair bir kanıt bulunmamakla birlikte, kullanıcıların potansiyel tehditlerden kaçınmak için en son yamaları ve hafifletici önlemleri mümkün olan en kısa sürede uygulamaları önemlidir.
Pathlock’tan Jonathan Stross, “Seri durumdan çıkarma en büyük risk olmaya devam ediyor” dedi. “P4/RMI zinciri, SAP’nin gadget sınıfı kötüye kullanımı azaltmak için hem doğrudan bir düzeltme hem de güçlendirilmiş bir JVM yapılandırması sunmasıyla AS Java’da kritik öneme sahip olmaya devam ediyor.”