(画像クレジット: SAP)
- SAP Solution ManagerのCVE-2025-42887は、認証されていないコードインジェクションおよびシステム全体の乗っ取りを許します
- 脆弱性のスコアは9.9/10;SAPの2025年11月アップデートでパッチがリリース
- SAPはSQL Anywhere Monitorの10/10の脆弱性CVE-2024-42890も修正
SAP Solution Managerは、数万のユーザー組織が利用するアプリケーションライフサイクル管理(ALM)プラットフォームですが、脅威アクターが侵害されたエンドポイントを完全に乗っ取ることができる重大な脆弱性が存在していたと、専門家が警告しています。
この脆弱性を発見しSAPに通知したセキュリティ研究者SecurityBridgeは、「入力サニタイズの欠如」による脆弱性であり、認証されていない脅威アクターがリモート対応ファンクションモジュールを呼び出す際に悪意のあるコードを挿入できると説明しています。
「これにより攻撃者はシステムを完全に制御できるようになり、システムの機密性、完全性、可用性に大きな影響を与える可能性があります」と、National Vulnerability Database(NVD)は説明しています。
SAPが10/10のバグを修正
このバグはCVE-2025-42887として追跡されており、深刻度スコアは9.9/10(クリティカル)とされています。
現在パッチは一般公開されており、SAPユーザーには以前から通知されていましたが、研究者たちは今後リスクがさらに高まるため、できるだけ早く適用するよう改めて呼びかけています:
「本日この脆弱性の公開パッチがリリースされ、リバースエンジニアリングやエクスプロイト開発が加速する可能性があるため、早急なパッチ適用が推奨されます」とSecurityBridgeは発表で述べています。
「優先度9.9/10の脆弱性を発見したとき、攻撃者に完全なシステム制御を与える脅威であることが分かります」とSecurityBridgeのセキュリティリサーチディレクター、Joris van de Vis氏は述べています。
「CVE-2025-42887は特に危険で、低権限ユーザーからコードを注入でき、SAP全体の侵害やSAPシステム内のすべてのデータ流出につながります。SAP Solution Managerのこのコードインジェクション脆弱性は、私たちの脅威研究ラボが特定・排除に尽力しているまさにクリティカルな攻撃対象領域の弱点です。SAPシステムはビジネス運用の基盤であり、このような脆弱性はプロアクティブなセキュリティ研究が不可欠であることを改めて示しています。」
この脆弱性はSAPの11月パッチデーの一環として修正され、18件の新規および2件の既知バグのアップデートが含まれています。上記のもの以外にも、SAPはSQL Anywhere Monitorの非GUIバリアントに存在する10/10の脆弱性を修正しました。このバグはCVE-2024-42890として追跡されており、ハードコードされた認証情報の別の事例です。
「SQL Anywhere Monitor(非GUI)は認証情報をコード内に埋め込んでおり、リソースや機能が意図しないユーザーに公開され、攻撃者に任意コード実行の可能性を与えていました」と説明されています。SQL Anywhere Monitorはデータベースの監視およびアラートツールで、SQL Anywhereスイートの一部です。
GoogleニュースでTechRadarをフォロー、そして お気に入りソースに追加して、私たちの専門ニュース、レビュー、意見をフィードで受け取りましょう。必ず「フォロー」ボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、開封動画などを動画で受け取り、WhatsAppでも定期的に最新情報を受け取れます。
翻訳元: https://www.techradar.com/pro/security/sap-fixes-serious-security-issues-heres-how-to-stay-safe
