エンタープライズ向けソフトウェアメーカーのSAPは火曜日、2025年12月のセキュリティパッチデーの一環として、新たに14件のセキュリティノートを公開したと発表しました。このうち3件は重大(クリティカル)な脆弱性に対処するものです。
最初のクリティカルノートはCVE-2025-42880(CVSSスコア9.9)に対応するもので、Solution Managerにおけるコードインジェクションとして説明されています。
このセキュリティ欠陥は、製品のリモート対応モジュールに影響し、ユーザー入力が適切に検証されていないことが原因で存在します。その結果、認証済みの攻撃者が任意のコードを注入できる可能性があると、SAPのセキュリティ企業Onapsisは説明しています。
PathlockのセキュリティアナリストであるJonathan Strossによると、このCVEがもたらすリスクは、Solution Managerがエンタープライズ環境内で果たす中心的な役割によって高まっています。Solution Managerは他のSAPシステムと接続された、運用および管理の中核ハブとして機能しているためです。
「多くのSAP環境において、Solution Managerは管理者が更新を管理し、組織全体のSAPランドスケープにソフトウェアを配布するのを支援します。そのため、多くの高権限ユーザーを抱えており、他のシステムへの重要なアクセスを提供しています。こうした理由から、この脆弱性が悪用されると、攻撃者がSAPエンタープライズランドスケープ全体に対する管理者レベルのアクセスを獲得する可能性があります」とStross氏は述べています。
SAPの2025年12月のアドバイザリにおける2つ目のクリティカルノートは、Commerce Cloudで使用されているApache Tomcatサーバーの2つのバグに対処するもので、CVSSスコアは9.6です。
CVE-2025-55754およびCVE-2025-55752として追跡されているこれらの欠陥は、10月に公開され、Tomcatバージョン11.0.11、10.1.45、9.0.109で修正されました。いずれもリモートコード実行(RCE)に悪用される可能性があります。
今月のSAPセキュリティパッチデーで公開された3つ目のクリティカルノートは、Sybase Adaptive Server Enterprise(ASE)向けjConnect SDKにおけるデシリアライゼーションの問題であるCVE-2025-42928(CVSSスコア9.1)を解決するものです。
Onapsisによると、攻撃者は特別に細工した入力を送信することで、この脆弱性を悪用し、RCEを引き起こす可能性があります。
SAPの2025年12月のアドバイザリには、優先度が「高(high)」と評価されたセキュリティノートが5件含まれており、そのうち2件はNetWeaverおよびBusiness Objectsにおけるサービス拒否(DoS)バグに対処するものです。
残りの3件は、Web DispatcherおよびInternet Communication Manager(ICM)における情報漏えいの問題、Web Dispatcher、ICM、Content Serverにおけるメモリ破損バグ、そしてSAP S/4 HANA Private Cloudにおける認可チェック欠如の脆弱性に対応しています。
残る6件のセキュリティノートは、NetWeaver、Application Server ABAP、SAPUI5、Enterprise Search for ABAP、BusinessObjectsにおける中程度の深刻度の欠陥を解消するものです。
SAPは、これらの脆弱性が実際の攻撃で悪用されているとの言及は行っていません。ユーザーには、可能な限り速やかにパッチを適用するよう推奨されています。
