SAP, kasım ayı güvenlik güncellemelerini yayınlayarak SQL Anywhere Monitor ve Solution Manager platformlarında yer alan kritik güvenlik açıklarını giderdi. Güncelleme kapsamında en yüksek önem derecesine sahip CVE-2025-42890 kodlu açık, SQL Anywhere Monitor’un grafik arayüzü bulunmayan sürümünde tespit edildi.
SQL Anywhere Monitor’da Sabit Kimlik Bilgisi Açığı Kapatıldı
CVE-2025-42890 olarak izlenen güvenlik açığı, SQL Anywhere Monitor’un kod yapısında sabit kimlik bilgilerinin bulunmasından kaynaklanıyor. Bu durum, yetkisiz kişilerin sistem kaynaklarına erişim sağlayarak keyfi kod çalıştırmasına yol açabiliyor. SAP, söz konusu açığın 10.0 düzeyinde en yüksek güvenlik puanıyla derecelendirildiğini belirtti.
SQL Anywhere Monitor, genellikle uzaktan veritabanı yönetimi yapan kurumlar tarafından kullanılan bir izleme aracıdır. Grafik arayüzü olmayan sürümü, çoğunlukla insan müdahalesi gerektirmeyen cihazlarda çalışıyor. Bu nedenle sabit kimlik bilgilerinin varlığı, sistem güvenliği açısından büyük bir risk oluşturuyor. SAP, aynı gün CVE-2025-42887 olarak tanımlanan ikinci bir kritik açığın da düzeltildiğini duyurdu. 9.9 önem derecesine sahip bu açık, SAP Solution Manager platformunda kod enjeksiyonuna neden oluyordu.
Ulusal Güvenlik Veritabanı kayıtlarına göre, sistem giriş doğrulamasında yapılan hatalı veri işleme, saldırganların uzaktan erişimle zararlı kod yerleştirmesine olanak tanıyordu. Bu durum sistemin gizliliğini, bütünlüğünü ve erişilebilirliğini ciddi biçimde etkileyebiliyordu.
Solution Manager, kurumsal SAP altyapılarının merkezî olarak yönetilmesini sağlayan bir platformdur. Büyük ölçekli işletmelerin ERP, CRM ve analiz sistemlerini yönettiği bu yapı, siber saldırılarda yüksek değerli hedefler arasında yer alıyor.
Kasım ayı güvenlik paketinde ayrıca CVE-2025-42940 numaralı yüksek önem düzeyine sahip bir açık ile 14 orta seviye güvenlik zafiyeti için düzeltmeler yer aldı. Şirket ayrıca geçen ay ele alınan NetWeaver sistemine ait CVE-2025-42944 açığı için de ek güncellemeler yayınladı.
Yılın başlarında SecurityBridge araştırmacıları, SAP S/4HANA, Business One ve NetWeaver sistemlerinde yer alan CVE-2025-42957 kodlu kritik bir kod enjeksiyonu açığının aktif olarak istismar edildiğini bildirmişti. SAP, kasım güncellemesinde yer alan iki kritik açık için şu anda herhangi bir kötüye kullanım tespit edilmediğini açıkladı. Şirket, sistem yöneticilerinin CVE-2025-42890 ve CVE-2025-42887 kodlu açıklar için yayınlanan yamaları hızla uygulaması ve üretici tavsiyelerini dikkate alması gerektiğini vurguladı.
