SAP は 12 月のセキュリティアップデートを公開し、複数の製品に存在する 14 件の脆弱性に対処しました。そのうち 3 件は重大(クリティカル)な脆弱性です。
これらの中で最も深刻な問題(CVSS スコア: 9.9)は、SAP Solution Manager ST 720 に影響するコードインジェクションの問題である CVE-2025-42880 です。
「入力のサニタイズが欠如しているため、SAP Solution Manager は、リモート有効なファンクションモジュールを呼び出す際に、認証済みの攻撃者が悪意のあるコードを挿入することを許してしまいます」と、この欠陥の説明には記載されています。
「これにより、攻撃者がシステムを完全に制御できる可能性があり、その結果として、システムの機密性、完全性、および可用性に対して重大な影響を及ぼすおそれがあります。」
SAP Solution Manager は、ベンダーが提供する中核的なライフサイクル管理および監視プラットフォームであり、企業によってシステム監視、技術設定、インシデントおよびサービスデスク、ドキュメントハブ、テスト管理などに利用されています。
今月 SAP が修正した次に深刻な脆弱性は、SAP Commerce Cloud コンポーネント(バージョン HY_COM 2205、COM_CLOUD 2211、および COM_CLOUD 2211-JDK21)に影響する、複数の Apache Tomcat の脆弱性に関するものです。
これらの脆弱性は SAP Commerce Cloud では単一の識別子 CVE-2025-55754 の下で追跡されており、CVSS 深刻度スコア 9.6 が付与されています。
SAP Commerce Cloud は、製品カタログ、価格設定、プロモーション、チェックアウト、受注管理、顧客アカウント、ERP/CRM 連携などを備え、大規模なオンラインストアを支えるエンタープライズ向け E コマースプラットフォームです。一般的に大手小売業者やグローバルブランドによって利用されています。
今月修正された 3 件目のクリティカルな脆弱性(CVSS スコア: 9.1)は、SAP jConnect に影響するデシリアライゼーションの脆弱性 CVE-2025-42928 であり、特定の条件下で、高い権限を持つユーザーが細工された入力を通じて、対象システム上でリモートコード実行を達成できる可能性があります。
SAP jConnect は、開発者やデータベース管理者が Java アプリケーションを SAP ASE および SAP SQL Anywhere データベースに接続するために使用する JDBC ドライバーです。
SAP の 2025 年 12 月 のセキュリティ情報には、メモリ破損、認証および認可チェックの欠如、クロスサイトスクリプティング、情報漏えいなどを含む、高深刻度 5 件と中深刻度 6 件の問題に対する修正も記載されています。
SAP ソリューションは企業環境に深く組み込まれており、機密性が高く高価値なワークロードを管理しているため、攻撃者にとって魅力的な標的となっています。
今年初め、SecurityBridge の研究者は、SAP S/4HANA、Business One、および NetWeaver の導入環境に影響するコードインジェクションの脆弱性(CVE-2025-42957)を悪用する 実際の攻撃を観測しました。
SAP は、今回の 14 件の脆弱性のいずれも「野放しで悪用されている」とはマークしていませんが、管理者は遅滞なく修正プログラムを適用する必要があります。
