SAPは、複数のセキュリティ脆弱性に対応する2024年11月のセキュリティアップデートをリリースしました。これには、SQL Anywhere Monitorの非GUIバリアントにおける最大深刻度の脆弱性や、Solution Managerプラットフォームの重大なコードインジェクション問題が含まれています。
SQL Anywhere Monitorのセキュリティ問題はCVE-2025-42890として追跡されており、ハードコーディングされた認証情報が含まれています。この脆弱性はリスクが高いため、最大深刻度スコア10.0が付与されています。
「SQL Anywhere Monitor(非GUI)は認証情報をコード内に埋め込んでおり、リソースや機能が意図しないユーザーに公開され、攻撃者が任意のコードを実行できる可能性があります」と説明されています。
攻撃者が認証情報を取得した場合、その使用方法によっては管理機能にアクセスできる可能性があります。
SQL Anywhere Monitorは、SQL Anywhereスイートの一部であるデータベース監視およびアラートツールであり、主に分散型またはリモートデータベースを管理する組織で利用されています。
非GUIモニターコンポーネントは、通常、無人のアプライアンス上に展開され、頻繁な人間の監視なしで稼働します。
2つ目の重大な脆弱性はCVE-2025-42887として特定されており、深刻度スコアは9.9です。これはアプリケーションライフサイクル管理用プラットフォームであるSAP Solution Managerに影響します。
「入力のサニタイズが不十分なため、SAP Solution Managerは認証済みの攻撃者がリモート対応ファンクションモジュールを呼び出す際に悪意のあるコードを挿入できてしまいます」と、ナショナル・バルネラビリティ・データベースのエントリに記載されています。
「これにより、攻撃者がシステムを完全に制御できるようになり、機密性、完全性、可用性に大きな影響を与える可能性があります。」
SAP Solution Managerは、SAP環境の集中管理および監視プラットフォームであり、ERP、CRM、分析ソリューションを含む複雑なネットワークを運用する大企業で一般的に使用されています。
2025年11月のセキュリティアップデートパックの一環として、SAPは高深刻度の脆弱性(CVE-2025-42940)1件および中程度の脆弱性14件にも修正をリリースしました。
また、ドイツのソフトウェア大手は、NetWeaverの重大な脆弱性CVE-2025-42944に対するアップデートもリリースしました。この脆弱性は当初、先月対応されていました。
SAP製品は、大企業で広く導入され、ミッションクリティカルなデータを扱うため、高価値なアクセスを狙う脅威アクターの標的となることが多いです。
今年初め、SecurityBridgeの研究者は、SAP S/4HANA、Business One、NetWeaverシステムに影響を与える重大なコードインジェクション脆弱性(CVE-2025-42957)の実際の悪用が報告されたと発表しました。
本日SAPが修正した2つの重大な脆弱性については、現時点で実際の悪用は確認されていませんが、システム管理者はできるだけ早く利用可能なアップデートを適用し、ベンダーの緩和策に従うことが推奨されています(CVE-2025-42890およびCVE-2025-42887、いずれもアカウント保有者のみアクセス可能)。
