- SAPの12月アップデートでは、主要製品における3件の重大な脆弱性を含む14件の不具合が修正された
- SAP Solution ManagerにおけるCVE‑2025‑42880(9.9)は、コードインジェクションとシステム全体の侵害を可能にする
- Apache TomcatのCVE‑2025‑55754(9.6)およびSAP jConnectのCVE‑2025‑42928(9.1)は、特定条件下でリモートコード実行を可能にする
SAPは12月の累積セキュリティアップデートをリリースし、複数製品で見つかった14件の脆弱性を修正した。その中には、遅滞なく対処すべき重大度「クリティカル」の不具合が3件含まれている。
対処された脆弱性の完全な一覧は、このリンクで確認できる。
今回修正された中で最も重大なバグは、SAP Solution Manager ST 720で発見されたコードインジェクションの脆弱性だ。これは、アプリケーションライフサイクル管理、システム監視、ITサービス管理向けのツールを更新したSAP Solution Manager 7.2の特定サポートパッケージスタックレベルに存在する。
SAP Ecommerce Cloudも影響を受ける
このバグはCVE-2025-42880として追跡されており、重大度スコアは9.9/10(クリティカル)と評価されている。
「入力のサニタイズが欠如しているため、SAP Solution Managerは、リモート有効なファンクションモジュールを呼び出す際に、認証済みの攻撃者が悪意あるコードを挿入することを許してしまう」とCVEレコードは説明している。「これにより、攻撃者はシステムを完全に制御できるようになり、その結果としてシステムの機密性、完全性、可用性に対して深刻な影響を及ぼす可能性がある。」
2つ目に大きな不具合は、Apache Tomcatにおけるエスケープシーケンス、メタシーケンス、制御シーケンスの不適切な無害化のバグで、SAP Commerce Cloudコンポーネントに影響を与える。これはCVE-2025-55754として追跡されており、重大度スコアは9.6/10(クリティカル)だ。
「Tomcatはログメッセージ内のANSIエスケープシーケンスをエスケープしていなかった」とCVEページには記載されている。「TomcatがWindowsのオペレーティングシステム上のコンソールで動作しており、そのコンソールがANSIエスケープシーケンスをサポートしていた場合、攻撃者は細工したURLを用いてANSIエスケープシーケンスを注入し、コンソールやクリップボードを操作し、管理者をだまして攻撃者が制御するコマンドを実行させることが可能だった。」
アドバイザリでは、既知の攻撃ベクターは存在しないものの、他のオペレーティングシステムに対してもこの攻撃を仕掛けられる可能性があると述べている。
3つ目はSAP jConnectにおけるデシリアライゼーションのバグで、特定の条件が満たされた場合に限り、高い権限を持つユーザーがリモートで悪意あるコードを実行できてしまう。このバグはCVE-2025-42928として追跡されており、重大度スコアは9.1/10(クリティカル)と評価されている。
