SAP, NetWeaver ve S/4HANA platformlarında bulunan birden fazla güvenlik açığını kapatmak için önemli güncellemeler yayımladı. Bu güncellemeler arasında, kimlik doğrulaması yapılmamış saldırganların işletim sistemi komutları çalıştırmasına olanak tanıyan kritik NetWeaver serileştirme açığı da bulunuyor.
Öne Çıkan Güvenlik Açıkları
CVE-2025-42944 (CVSS 10.0) NetWeaver’de, RMI-P4 modülü üzerinden açık porta kötü amaçlı yük gönderilmesine izin veren bir serileştirme açığıdır. Bu durum, işletim sistemi komutlarının uzaktan çalıştırılmasına yol açabilir. Onapsis, geçici çözüm olarak P4 portu için ICM seviyesinde filtreleme öneriyor.
CVE-2025-42922 (CVSS 9.9) NetWeaver AS Java’da, yönetici olmayan kullanıcıların rastgele dosya yüklemesine olanak tanıyan güvensiz dosya işlemleri açığıdır.
CVE-2025-42958 (CVSS 9.1) IBM i-serisi üzerindeki NetWeaver uygulamasında kimlik doğrulama kontrolü eksikliği nedeniyle, yüksek ayrıcalıklı olmayan kullanıcıların hassas verilere erişim ve yönetimsel işlevlere ulaşma riski bulunmaktadır.
S/4HANA’da Yüksek Şiddetli Açık
SAP S/4HANA platformunda bulunan CVE-2025-42916 (CVSS 8.1) kod doğrulama eksikliği, yüksek ayrıcalıklı saldırganların ABAP raporlarına erişerek yetkilendirme grubuyla korunmayan veritabanı tablolarını silmesine imkan tanımaktadır. Ayrıca, geçtiğimiz ay aktif olarak kötüye kullanıldığı bildirilen CVE-2025-42957 (CVSS 9.9) açığına yönelik yamalar da yayımlandı.
Güncellemelerin Önemi
Şu an için yeni açıklanan açıkların kötü niyetli aktörler tarafından kullanıldığına dair kanıt bulunmamakla birlikte, SAP kullanıcılarının sistemlerini korumak için yayımlanan yamaları mümkün olan en kısa sürede uygulamaları kritik önem taşıyor.