SAP: Zakrpa za jul 2025. donosi ispravke za 27 ranjivosti, uključujući 7 kritičnih

SAP je objavio svoje julsko izdanje bezbjednosnih zakrpa za 2025. godinu, rješavajući značajan broj ranjivosti u svom portfelju poslovnog softvera. Ovo sveobuhvatno bezbjednosno ažuriranje uključuje 27 novih bezbjednosnih bilješki i 3 ažuriranja ranije objavljenih zakrpa, pri čemu je sedam ranjivosti klasifikovano kao kritične na osnovu njihovih CVSS ocjena. Najozbiljnija ranjivost, koja utiče na SAP Sistem za upravljanje odnosima sa dobavljačima (Live Auction Cockpit), dobila je maksimalnu CVSS ocjenu od 10.0, ukazujući na hitnu potrebu za ažuriranjem u SAP okruženjima širom svijeta.

Ključni zaključci ovog ažuriranja su da je SAP 8. jula 2025. godine izdao 27 novih bezbjednosnih bilješki, uz 3 ažuriranja postojećih. Identifikovano je sedam kritičnih ranjivosti, od kojih je CVE-2025-30012 postigla maksimalnu CVSS ocjenu od 10.0. Ove ranjivosti pogađaju ključne SAP proizvode, uključujući S/4HANA, NetWeaver, ABAP Platform i SAPCAR. Preporučuje se hitna primjena zakrpa za kritične ranjivosti povezane s provjerom autentičnosti i ubacivanjem kodova.

Kritična ranjivost u SAP SRM-u (CVE-2025-30012) predstavlja najozbiljniju prijetnju za SAP okruženja, zahtijevajući trenutno administrativno djelovanje. Ova ranjivost, koja se nalazi u SAP Supplier Relationship Management (Live Auction Cockpit) verziji SRM_SERVER 7.14, ima maksimalnu CVSS ocjenu 10.0, što ukazuje na izuzetno visok rizik od potpune kompromitacije sistema. Problem je dio šireg bezbjednosnog problema koji obuhvata više povezanih CVE-ova, uključujući CVE-2025-30009, CVE-2025-30010, CVE-2025-30011 i CVE-2025-30018, što sugeriše mogućnost napada na više komponenti ili funkcija unutar Live Auction Cockpit-a istovremeno.

Šest dodatnih kritičnih propusta, sa CVSS ocjenom 9.1, cilja na različite komponente SAP infrastrukture. CVE-2025-42967 se odnosi na ranjivost ubacivanja koda u SAP S/4HANA i SAP SCM (Characteristic Propagation), pogađajući verzije SCMAPO 713-714, S4CORE 102-104 i S4COREOP 105-108. Preostale kritične ranjivosti usredsređene su na nesigurnu deserializaciju u komponentama SAP NetWeaver Enterprise Portal, uključujući CVE-2025-42980 u Federated Portal Network, CVE-2025-42964 u Portal Administration, CVE-2025-42966 u XML Data Archiving Service i CVE-2025-42963 u aplikaciji Log Viewer za Java okruženja.

Visokoprioritetne ranjivosti uključuju CVE-2025-42959, koja se bavi nedostajućim provjerama autentičnosti u SAP NetWeaver ABAP Server i ABAP Platform za više verzija SAP_BASIS od 700 do 915, sa CVSS ocjenom 8.1. Ranjivosti srednjeg prioriteta obuhvataju širok spektar bezbjednosnih problema, uključujući Cross-Site Scripting (XSS) ranjivosti poput CVE-2025-42969 u SAP NetWeaver Application Server ABAP i CVE-2025-42962 u SAP Business Warehouse. Ranjivosti obuhvatanja direktorijuma koje utiču na SAPCAR (CVE-2025-42970) i problemi eskalacije privilegija (CVE-2025-43001) dodatno naglašavaju sveobuhvatnu prirodu ovog bezbjednosnog ažuriranja. Ususret tome, SAPCAR uslužni program, neophodan za upravljanje SAP paketima, zahtijeva pažnju u verzijama 7.53 i 7.22EXT kako bi se riješili višestruki bezbjednosni problemi, uključujući oštećenje memorije (CVE-2025-42971) i nesigurne operacije datoteka.

Hitno je potrebno primijeniti zakrpe, a SAP je naglasio kritičnu važnost njihovog trenutnog apliciranja, posebno zbog ozbiljnosti identifikovanih ranjivosti. Kompanija snažno preporučuje korisnicima da posjete Podršku i daju prioritet implementaciji zakrpa kako bi zaštitili svoje SAP okruženje od potencijalnih bezbjednosnih proboja. Širok spektar pogođenih proizvoda, od SAP_BASIS komponenti do specijalizovanih aplikacija kao što je Business Objects Business Intelligence Platform, naglašava važnost sveobuhvatnih strategija upravljanja zakrpama. Ažuriranja rješavaju temeljne bezbjednosne probleme, uključujući zaobilaženje provjere autentičnosti, neuspjehe u autorizaciji i ranjivosti ubacivanja koje bi potencijalno mogle kompromitovati cijela SAP okruženja.

Recent Articles

spot_img

Related Stories