SAP Kasım Güncellemeleri SQL Anywhere Monitor’daki Hardcoded Kimlik Bilgisi Açığını ve Solution Manager’daki Kritik Kod Enjeksiyonunu Giderdi
SAP, Kasım 2025 güvenlik güncellemeleri kapsamında SQL Anywhere Monitor’ün GUI olmayan sürümünde yer alan ve 10.0 maksimum önem derecesi verilen hardcoded kimlik bilgisi açığını (CVE-2025-42890) düzeltti. Şirket ayrıca SAP Solution Manager platformunda kimlik doğrulamalı saldırganların uzaktan kötü amaçlı kod enjekte etmesine yol açabilen CVE-2025-42887 kodlu 9.9 önem dereceli zafiyeti kapattı. Kurumsal ortamlarda geniş çapta kullanılan SAP ürünleri için yayımlanan paket, yüksek önem dereceli bir hata ve 14 orta seviye güvenlik açığını da içeriyor.
SAP, Kasım 2025 güvenlik bülteniyle kritik etkiler doğurabilecek iki zafiyet için düzeltme yayımladı. En yüksek önem dereceli açık CVE-2025-42890, SQL Anywhere Monitor’ün non-GUI bileşeninde gömülü kullanıcı bilgileri bulunmasından kaynaklanıyor.
Hardcoded Kimlik Bilgileri Sistem Kontrolünü Riske Atıyordu
SAP, hatanın bileşen içine sabitlenmiş kimlik bilgileri nedeniyle yetkisiz kullanıcıların ilgili işlevlere erişerek kötü amaçlı kod çalıştırabileceğini belirtti. SQL Anywhere Monitor, dağıtık veritabanlarını yöneten şirketlerde sıkça kullanılan bir izleme ve uyarı aracı olup, non-GUI sürüm genellikle insan müdahalesinin sınırlı olduğu cihazlarda çalıştırılıyor.
Solution Manager’da Kritik Kod Enjeksiyonu
İkinci kritik açık olan CVE-2025-42887, SAP Solution Manager üzerinde eksik giriş doğrulamasından kaynaklanıyor. Ulusal Zafiyet Veritabanı açıklamasına göre kimlik doğrulaması olan bir saldırgan, uzaktan erişilebilir fonksiyon modüllerine kod enjekte ederek sistemi tamamen ele geçirebiliyor. Bu durum gizlilik, bütünlük ve erişilebilirlik üzerinde ciddi etkiler yaratıyor.
Geniş SAP Ekosistemine Yönelik Diğer Düzeltmeler
Güncelleme paketi ayrıca bir yüksek önem dereceli CVE-2025-42940 hatası ile 14 orta seviye zafiyete yönelik yamalar içeriyor. SAP ayrıca geçen ay ilk düzeltmesi yayımlanan NetWeaver CVE-2025-42944 için ek güncellemeler sağladı. SAP altyapılarının kritik veri işlemeleri nedeniyle tehdit aktörlerinin sık hedefi olduğu belirtiliyor.
Önceki Saldırılar Güvenlik Risklerini Öne Çıkarmıştı
Bu yıl SecurityBridge araştırmacıları, SAP S/4HANA, Business One ve NetWeaver sistemlerini etkileyen CVE-2025-42957 kodlu kritik kod enjeksiyonu zafiyetinin aktif olarak istismar edildiğini raporlamıştı. SAP, Kasım’da yamaladığı iki kritik açık için ise henüz aktif istismar tespit edilmediğini, ancak yöneticilerin düzeltmeleri ivedilikle uygulaması gerektiğini bildirdi.
SAP, CVE-2025-42890 ve CVE-2025-42887 için önerilen azaltma adımlarının yalnızca hesap sahiplerine sunulduğunu açıkladı.
Ajans Expres Gazetesi
Tepkiniz Nedir?
