エンタープライズソフトウェアメーカーのSAPは火曜日、2025年11月のセキュリティパッチの一環として、新たに18件と1件の更新されたセキュリティノートを発表しました。
最も重要なSAPの2025年11月のノートは、SQL Anywhere Monitorにおける安全でないキーおよびシークレット管理の脆弱性(CVE-2025-42890、CVSSスコア10/10)に関するものです。
このバグは、SQL Anywhere Monitorにハードコードされた認証情報が存在するため、影響を受けるシステムで任意のコードを実行される可能性があり、システムの機密性、完全性、可用性に影響を及ぼします。
この問題を解決するために、SAPはSQL Anywhere Monitorを完全に削除したと、エンタープライズアプリケーションセキュリティ企業のOnapsisは述べています。
「一時的な回避策として、SAPはSQL Anywhere Monitorの使用を中止し、SQL Anywhere Monitorデータベースのインスタンスをすべて削除することを推奨しています」とOnapsisは述べています。
火曜日、SAPはまた、Solution Managerにおける重大度の高いコードインジェクションの欠陥(CVE-2025-42887、CVSSスコア9.9)に対する修正も公開しました。この脆弱性は、リモート対応のファンクションモジュールがユーザー入力を適切にサニタイズしなかったため、攻撃者が悪意のあるコードを注入できる可能性がありました。
さらに、ソフトウェアメーカーは2025年10月のセキュリティパッチデーに公開されたセキュリティノートを更新し、NetWeaver AS Javaにおける最近の安全でないデシリアライズ脆弱性への保護を強化しました。このノートは、CVSSスコア10/10のセキュリティ欠陥であるCVE-2025-42944に対応しています。
SAPの新しいパッチはまた、CommonCryptoLibにおける重大度の高いメモリ破損の脆弱性(CVE-2025-42940、CVSSスコア7.5)も修正しています。
「境界チェックが欠如しているため、攻撃者が悪意のあるデータを送信し、メモリ破損やアプリケーションのクラッシュを引き起こす可能性があります」とOnapsisは説明しています。
SAPの2025年11月セキュリティパッチデーで公開された残りのノートは、HANA JDBC Client、Business Connector、NetWeaver、S/4HANAランドスケープ、HANA 2.0、SAP GUI for Windows、Starter Solution、Business One、S4COREにおける中程度および低度の脆弱性に対応しています。
10月と11月のパッチの間に、SAPは6件のセキュリティノートの更新を実施しており、その中にはSupplier Relationship Managementにおける重大度の高い無制限ファイルアップロードの問題に対応した2025年10月のノートも含まれています。
CVE-2025-42910(CVSSスコア9.0)として追跡されているこの欠陥は、認証された攻撃者が悪意のある可能性のあるファイルをアップロードできる可能性があります。更新されたノートには有効性に関する追加情報が含まれています。
SAPは、パッチが適用された脆弱性が実際に悪用されたという言及はしていません。ユーザーは、SAPの脆弱性が脅威アクターの人気の標的であるため、できるだけ早くセキュリティノートを適用することが推奨されています。
翻訳元: https://www.securityweek.com/sap-patches-critical-flaws-in-sql-anywhere-monitor-solution-manager/
