SAP Güvenlik Güncellemeleri: Üç Kritik Açık ve Sorumluluk
Bu ayın güvenlik güncellemeleriyle, SAP, ürünlerinde tespit edilen toplam 14 açığı ele aldı. Üçü kritik düzeyde olmak üzere, bu açıklar siber güvenlik alanında ciddi tehditler oluşturuyor. Kurumlar, SAP’nin bu güncellemelerini hızlı bir şekilde uygulamakla yükümlü.
En Kritik Açık: CVE-2025-42880
SAP’nin en ciddi açığı, CVE-2025-42880 koduyla biliniyor ve CVSS puanı 9.9 olarak değerlendiriliyor. Bu açık, SAP Solution Manager ST 720’yi etkileyen bir kod enjeksiyonu problemi olarak tanımlanıyor. Açık, kötü niyetli bir saldırganın yetkili bir kullanıcı olarak sisteme kötü amaçlı kod eklemesi için fırsat sunuyor. Bu durum, saldırganın sistem üzerinde tam kontrol elde etmesine ve dolayısıyla sistemin gizlilik, bütünlük ve kullanılabilirliği üzerinde yüksek etkiler yaratmasına neden olabiliyor.
SAP Solution Manager Nedir?
SAP Solution Manager, işletmelerin sistem yönetimi, teknik yapılandırma, olay ve hizmet masası, belgeler merkezi ve test yönetimi gibi işlevleri yerine getirdiği merkezi bir platformdur. Kurumların bu platformu kullanarak sistemlerini izleyebilmesi, yönlendirebilmesi ve yönetebilmesi büyük önem taşımaktadır.
İkinci Önemli Açık: CVE-2025-55754
SAP’nin düzeltme yaptığı bir diğer kritik sorun ise CVE-2025-55754 kodu ile izlenen ve CVSS puanı 9.6 olan Apache Tomcat ile ilgili açıklar. Bu açık, SAP Commerce Cloud bileşenlerinde, özellikle HY_COM 2205, COM_CLOUD 2211 ve COM_CLOUD 2211-JDK21 versiyonlarında tespit edildi. SAP Commerce Cloud, büyük ölçekli çevrimiçi mağazaları destekleyen kurumsal düzeyde bir e-ticaret platformudur. Ürün katalogları, fiyatlandırma, tanıtımlar ve müşteri hesapları gibi pek çok işlevi yönetmektedir.
Üçüncü Kritik Açık: CVE-2025-42928
Son olarak, bu ay düzeltmeleri yapılan üçüncü kritik güvenlik açığı ise CVE-2025-42928 koduyla biliniyor ve CVSS puanı 9.1 olarak değerlendirilmiştir. Bu açık, SAP jConnect üzerinde bir serileştirme açığıdır. Bu tür bir açık, belirli koşullar altında yüksek yetkiye sahip bir kullanıcının, özenle hazırlanmış girdi ile hedefte uzaktan kod çalıştırabilmesine imkân tanır. SAP jConnect, geliştiricilerin ve veritabanı yöneticilerinin Java uygulamalarını SAP ASE ve SAP SQL Anywhere veritabanlarına bağlamalarına olanak sağlar.
Diğer Güvenlik Sorunları
SAP’nin Aralık 2025 güvenlik bülteni, yüksek şiddette beş açık ve orta şiddette altı sorun daha içermektedir. Bu sorunlar arasında bellek bozulması, eksik kimlik doğrulama ve yetkilendirme kontrolleri ile çapraz site betikleme (XSS) gibi tehditler bulunuyor.
Sonuç ve Öneriler
SAP’nin çözümleri, kurumsal ortamların derinlerine gömülü olup, hassas ve yüksek değerli iş yüklerini yönetmektedir. Bu nedenle, saldırganlar için cazip bir hedef haline gelmektedir. Geçtiğimiz yıl, SecurityBridge araştırmacıları, SAP S/4HANA, Business One ve NetWeaver konuşlandırmalarını etkileyen bir kod enjeksiyonu açığını (CVE-2025-42957) kullanan saldırıları gözlemledi. SAP, mevcut 14 açığı da aktif olarak kötüye kullanıldığını belirtmemiştir; fakat yöneticilerin bu güncellemeleri gecikmeksizin uygulaması kritik önem taşımaktadır.
