bencede
New member
18 yeni güvenlik topluluğunda, Şubat ayında çok sayıda üründe keşfedilen güvenlik açığı olduğunu biliyor. Bir avuç şirket için yüksek bir risk olarak kabul edilir. BT yöneticileri hazırlık güncellemelerini hızlı bir şekilde indirmeli ve yüklemelidir.
Duyuru
Şubat ayında Patchday'a genel bakışta SAP, bireysel güvenlik bildirimlerini listeler. En ciddi SAP, şirket nesnelerinde zayıf bir nokta sıralıyor. İdari haklara sahip saldırganların gizli parola oluşturmasına veya elde etmesine izin verir ve bu nedenle sistemde herhangi bir kullanıcı üretir (CVE-2025-0064, CVSS 8.7Risk “yüksek“).
SAP: Daha yüksek riskli boşluklar
SAPS tedarikçileri ile ilişkilerin yönetimi ise, herhangi bir dosya indirmenize izin vermeyen yolun boşluğundan etkilenir. Bu hassas bilgiler elde edebilir (CVE-2025-25243, CVSS 8.6,, yüksek). SAPS tarafından “Node.js” paketinde, kötü aktörler kimlik doğrulamasını önleyebilir. Kötü verilere girerek kurbanların oturumunu almak mümkündür (CVE 2025-24876, CVSS 8.1,, yüksek).
Güvenlik toplulukları ayrıntılı:
SAP, Ocak Patchday'da güncellemelerle 14 güvenlik boşluğunu onarmıştı. Bunlardan bazıları kritik bir güvenlik riski bile kabul edildi.
(DMK)
Duyuru
Şubat ayında Patchday'a genel bakışta SAP, bireysel güvenlik bildirimlerini listeler. En ciddi SAP, şirket nesnelerinde zayıf bir nokta sıralıyor. İdari haklara sahip saldırganların gizli parola oluşturmasına veya elde etmesine izin verir ve bu nedenle sistemde herhangi bir kullanıcı üretir (CVE-2025-0064, CVSS 8.7Risk “yüksek“).
SAP: Daha yüksek riskli boşluklar
SAPS tedarikçileri ile ilişkilerin yönetimi ise, herhangi bir dosya indirmenize izin vermeyen yolun boşluğundan etkilenir. Bu hassas bilgiler elde edebilir (CVE-2025-25243, CVSS 8.6,, yüksek). SAPS tarafından “Node.js” paketinde, kötü aktörler kimlik doğrulamasını önleyebilir. Kötü verilere girerek kurbanların oturumunu almak mümkündür (CVE 2025-24876, CVSS 8.1,, yüksek).
Güvenlik toplulukları ayrıntılı:
- SAP BusinessObjects Business Intelligence Platformunda (Merkezi Yönetim Konsolu) uygunsuz yetkilendirme, CVE-2025-0064, CVSS 8.7Risk “yüksek“
- SAP Tedarikçileri (Ana Veri Yönetimi Kataloğu), CVE-2025-25243, CVSS ile ilişkilerin yönetiminde yolu geçmenin güvenlik açığı 8.6,, yüksek
- SAP ACA, CVE-2025-24876, CVSS'de yetkilendirme kodu enjeksiyonu yoluyla kimlik doğrulama baypas 8.1,, yüksek
- Enterprise SAP Projesi, CVE-2024-38819, CVSS 7.5,, yüksek
- SAP HANA Genişletilmiş Uygulama Hizmetlerinde, Gelişmiş Model (Kullanıcı Hesabı ve Kimlik Doğrulama Hizmetleri), CVE-2025-24868, CVSS'de açık yeniden yönlendirmenin güvenlik açığı 7.1,, yüksek
- SAP Commerce, CVE-2025-24875, CVSS 6.8,, orta
- SAP Commerce (Backoffice), CVE-2025-24874, CVSS 6.8,, orta
- SAP BusinessObjects iş zekası platformunda (BI Launchpad) Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı, CVE-2025-24867, CVSS 6.1,, orta
- Windows için SAP'de Yönetimin Güvenlik Açığı ve İlahi Gizli Yönetim, CVE-2025-24870, CVSS 6.0,, orta
- Apache Solr'da Ticari Bulut, CVE-2024-45216, CVE-2024-45217, CVSS 5.5,, orta
- SAP NeweAvav Java Applications, CVE-2025-0054]CVSS sunucusunda komut dosyasının (XSS) güvenlik açığı 5.4,, orta
- SAP FIORI Uygulamalar Referans Kütüphanesinde (My Survertime Yanıt) Eksik Yetkilendirme Kontrolü, CVE-2025-25241, CVSS 5.4,, orta
- SAP NetWeaver ve ABAP Platformunda (SDCCN) Eksik Yetkilendirme Kontrolü, CVE-2025-23187, CVSS 5.3,, orta
- SAP NewEavave Uygulama Sunucusu ABAP, CVE-2025-23193, CVSS 5.3,, orta
- SAP NewEavave Uygulama Sunucusu Java, CVE-2025-24869, CVSS 4.3,, orta
- SAP ABAP (ABAP Build Framework), CVE-2025-24872, CVSS Platformu'ndaki eksik yetkinin doğrulanması 4.3,, orta
- SAP NetWeaver ve ABAP Platformunda (ST-PI) Eksik Yetkilendirme Kontrolü, CVE-2025-23190, CVSS 4.3,, orta
- SAP Fiori Montajının SAP ERP, CVE-2025-23191, CVSS için manipülasyonunun güvenlik açığı yoluyla önbellek zehirlenmesi 3.1,, Bas
SAP, Ocak Patchday'da güncellemelerle 14 güvenlik boşluğunu onarmıştı. Bunlardan bazıları kritik bir güvenlik riski bile kabul edildi.
(DMK)