18 yeni güvenlik topluluğunda SAP, Şubat Patchday'ın bir parçası olarak çok sayıda üründeki yeni keşfedilen güvenlik açıklarını ele alıyor. Bir avuç şirket için yüksek bir risk olarak kabul edilir. BT yöneticileri hazırlık güncellemelerini hızlı bir şekilde indirmeli ve yüklemelidir.
Reklamcılık
Şubat ayında Patchday'a genel bakışta SAP, bireysel güvenlik bildirimlerini listeler. En ciddi SAP, iş nesnelerinde zayıf bir noktayı sınıflandırır. Yönetici haklarına sahip saldırganların gizli parolalar oluşturmasını veya elde etmesini ve böylece sistemdeki herhangi bir kullanıcıyı çıkarmasını sağlar (CVE-2025-0064, CVSS 8.7Risk “yüksek“).
SAP: Daha yüksek riskli boşluklar
SAPS Tedarikçi İlişki Yönetimi ise, herhangi bir dosyanın indirilmesini sağlamayan yoldan çıkarak boşluğundan etkilenir. Bu hassas bilgiler alabilir (CVE-2025-25243, CVSS 8.6,, yüksek). SAPS onaylayıcısının “Node.js” paketinde, malign aktörler kimlik doğrulamasını önleyebilir. Malign veriler ekleyerek mağdurların oturumunu devralabilirsiniz (CVE 2025-24876, CVSS 8.1,, yüksek).
Güvenlik toplulukları ayrıntılı:
SAP, Ocak Patchday'da güncellemelerle 14 güvenlik boşluğunu onarmıştı. Bunlardan bazıları kritik bir güvenlik riski bile kabul edildi.
(DMK)
Reklamcılık
Şubat ayında Patchday'a genel bakışta SAP, bireysel güvenlik bildirimlerini listeler. En ciddi SAP, iş nesnelerinde zayıf bir noktayı sınıflandırır. Yönetici haklarına sahip saldırganların gizli parolalar oluşturmasını veya elde etmesini ve böylece sistemdeki herhangi bir kullanıcıyı çıkarmasını sağlar (CVE-2025-0064, CVSS 8.7Risk “yüksek“).
SAP: Daha yüksek riskli boşluklar
SAPS Tedarikçi İlişki Yönetimi ise, herhangi bir dosyanın indirilmesini sağlamayan yoldan çıkarak boşluğundan etkilenir. Bu hassas bilgiler alabilir (CVE-2025-25243, CVSS 8.6,, yüksek). SAPS onaylayıcısının “Node.js” paketinde, malign aktörler kimlik doğrulamasını önleyebilir. Malign veriler ekleyerek mağdurların oturumunu devralabilirsiniz (CVE 2025-24876, CVSS 8.1,, yüksek).
Güvenlik toplulukları ayrıntılı:
- SAP BusinessObjects Business Intelligence Platformunda (Merkezi Yönetim Konsolu) uygunsuz yetkilendirme, CVE-2025-0064, CVSS 8.7Risk “yüksek“
- SAP Tedarikçi İlişkisi Yönetiminde (Ana Veri Yönetimi Kataloğu) Yol Geçiş Güvenlik Açığı, CVE-2025-25243, CVSS 8.6,, yüksek
- SAP Onaylayıcı, CVE-2025-24876, CVSS 8.1,, yüksek
- SAP Enterprise Project Connection, CVE-2024-38819, CVSS 7.5,, yüksek
- SAP HANA Genişletilmiş Uygulama Hizmetlerinde, Gelişmiş Model (Kullanıcı Hesabı ve Kimlik Doğrulama Hizmetleri), CVE-2025-24868, CVSS 7.1,, yüksek
- SAP Commerce, CVE-2025-24875, CVSS 6.8,, orta
- SAP Commerce (Backoffice), CVE-2025-24874, CVSS 6.8,, orta
- SAP BusinessObjects iş zekası platformunda (BI Launchpad) Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı, CVE-2025-24867, CVSS 6.1,, orta
- Windows için SAP GUI'de Güvensiz Anahtar ve Gizli Yönetim Güvenlik Açığı, CVE-2025-24870, CVSS 6.0,, orta
- Apache Solr'da Commerce Cloud, CVE-2024-45216, CVE-2024-45217, CVSS 5.5,, orta
- SAP NetWeaver Uygulama Sunucusu Java, CVE-2025-0054]Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı 5.4,, orta
- SAP FIORI Uygulamalar Referans Kütüphanesinde (fazla mesai isteklerim) eksik yetkilendirme kontrolü, CVE-2025-25241, CVSS 5.4,, orta
- SAP NetWeaver ve ABAP Platformunda (SDCCN) Eksik Yetkilendirme Kontrolü, CVE-2025-23187, CVSS 5.3,, orta
- SAP NetWeaver Uygulama Sunucusunda Bilgi Açıklama Güvenlik Açığı ABAP, CVE-2025-23193, CVSS 5.3,, orta
- SAP NetWeaver Uygulama Sunucusu Java, CVE-2025-24869, CVSS'de Bilgi Açıklama Güvenlik Açığı 4.3,, orta
- SAP ABAP Platformunda (ABAP Build Framework) Eksik Yetkilendirme Kontrolü, CVE-2025-24872, CVSS 4.3,, orta
- SAP NetWeaver ve ABAP Platformunda (ST-PI) Eksik Yetkilendirme Kontrolü, CVE-2025-23190, CVSS 4.3,, orta
- SAP ERP, CVE-2025-23191, CVSS 3.1,, Düşük
SAP, Ocak Patchday'da güncellemelerle 14 güvenlik boşluğunu onarmıştı. Bunlardan bazıları kritik bir güvenlik riski bile kabul edildi.
(DMK)