ビジネスソフトウェアメーカーのSAPは火曜日、月例のリリースの一環として16件の新規および更新されたパッチノートを発表しました。その中には、重大度の高い脆弱性に対応する3件の新しいノートが含まれています。
2025年10月のセキュリティパッチデーでリリースされたパッチの1つは、NetWeaver AS Javaにおける安全でないデシリアライズの脆弱性として説明されているCVE-2025-42944(CVSSスコア10/10)を再度修正しています。
エンタープライズソフトウェアのセキュリティ企業Onapsisによると、このセキュリティノートは、過去数か月間にNetWeaverで解決された安全でないデシリアライズの脆弱性(CVE-2025-42944を含む)に対して新たな保護策を追加しています。CVE-2025-42944は当初、2025年9月にパッチ適用されました。
実際、SAPはCVE-2025-42944に対処する2025年9月のセキュリティノートも更新し、新たにリリースされたハードニング推奨事項への参照を追加しました。
「追加の保護層は、特定のクラスがデシリアライズされるのを防ぐJVM全体のフィルター(jdk.serialFilter)の実装に基づいています」とOnapsisは述べています。
火曜日に解決されたもう1つの重大度の高い問題は、Print ServiceにおけるディレクトリトラバーサルのバグであるCVE-2025-42937(CVSSスコア9.8)で、認証されていない攻撃者がシステムファイルを上書きできる可能性があります。
SAPはまた、認証済みの攻撃者がマルウェアを含む実行ファイルなどの任意のファイルをアップロードできる、Supplier Relationship Management(SRM)における無制限ファイルアップロードの欠陥CVE-2025-42910(CVSSスコア9.0)に対するパッチも展開しました。
今月、SAPは高い重大度の脆弱性に対応する2件のセキュリティノートを公開しました。1つ目はCommerce Cloudにおけるサービス拒否(DoS)バグのCVE-2025-5115を解決し、2つ目はData Hub Integration Suiteにおけるセキュリティ設定ミスのCVE-2025-48913を修正します。
残りの10件の新規および更新されたセキュリティノートは、NetWeaver、ABAP、Commerce Cloud、S/4HANA、金融サービス請求管理、BusinessObjects、Cloud Applianceにおける中・低重大度の欠陥を解決します。
定例の月例パッチデーの後、SAPは2025年9月のアドバイザリを1件の新規および7件の更新されたセキュリティノートで更新しました。その中には、重大度の高い脆弱性に対応する3件が含まれます。
SAPは、これらの問題が実際に悪用されたという言及はしていませんが、ユーザーにはできるだけ早くパッチおよび緩和策を適用することが推奨されています。脅威アクターがSAPのバグを攻撃に利用した事例が知られています。
翻訳元: https://www.securityweek.com/sap-patches-critical-vulnerabilities-in-netweaver-print-service-srm/
