SAPは、2025年8月のPatch Tuesdayアップデートで、重大な脆弱性を含む十数件以上の脆弱性を修正しました。
今回のPatch Tuesday(SAPでは「Security Patch Day」と呼ばれています)では、15件の新しいセキュリティノート(修正)が公開され、さらに過去の修正に対する4件のアップデートもリリースされました。
SAP製品の脆弱性を発見することが多い、エンタープライズアプリケーションセキュリティ専門企業のOnapsisは、前回のPatch Tuesday以降、ベンダーが合計26件の新規および更新された修正をリリースしたと指摘しています。
これら26件の修正のうち、4件が「ホットニュース」または「クリティカル(重大)」に分類されており、そのうち2件が新規、2件が過去のパッチのアップデートです。新しい「ホットニュース」パッチは、CVE-2025-42950およびCVE-2025-42957で、コードインジェクションの問題と説明されています。
Onapsisによると、これらは任意のコード実行に悪用される可能性があり、システム全体の侵害につながる恐れがあります。
CVE-2025-42950とCVE-2025-42957は同じ脆弱性ですが、異なる製品に対して異なるCVEが割り当てられています。CVE-2025-42957はS/4HANAエンタープライズリソースプランニング(ERP)ソフトウェアに、CVE-2025-42950は旧世代のERPソフトウェアであるERP Central Component(ECC)に割り当てられています。
新しい高優先度パッチは、SAP Business Oneの認可不備の問題(CVE-2025-42951、認証済みの攻撃者が管理者権限を取得可能)や、NetWeaver Application Server ABAPの複数のメモリ破損バグ(CVE-2025-42976、機密情報漏洩につながる可能性あり)に対応しています。
残りの新しい問題は「低」または「中」優先度で、S/4HANA、NetWeaver、ABAP Platform、Cloud Connectorおよびその他の製品に影響します。
広告。スクロールして続きをお読みください。
脅威アクターがSAP製品の脆弱性を攻撃に悪用することは珍しくないため、組織が利用可能なアップデートをインストールすることが重要です。
SAPの顧客は最近、4月に修正されたNetWeaverのゼロデイ脆弱性が、少なくとも1月以降悪用されていたと警告されました。NetWeaverの脆弱性は、最近ランサムウェアグループやサイバースパイによっても悪用されています。
翻訳元: https://www.securityweek.com/sap-patches-critical-s-4hana-vulnerability/