Hardkodirani kredencijali u SQL Anywhere Monitoru mogle su omogućiti hakerima izvršavanje proizvoljnog koda na ranjivim sistemima.
Kompanija SAP je u utorak objavio 18 novih i jednu ažuriranu bezbjednosnu napomenu u sklopu novembarskog ciklusa zakrpa za 2025. godinu.
Najvažnija napomena odnosi se na ranjivost CVE-2025-42890 (CVSS ocjena 10/10), opisanu kao problem nesigurnog upravljanja ključevima i tajnim podacima u SQL Anywhere Monitoru.
Greška nastaje zbog hardkodiranih vjerodajnica koje bi napadači mogli iskoristiti za izvršavanje proizvoljnog koda na pogođenim sistemima, čime bi ugrozili povjerljivost, integritet i dostupnost sistema.
Kako bi otklonio problem, SAP je u potpunosti uklonio SQL Anywhere Monitor, navodi bezbjednosna firma Onapsis.
„Kao privremeno rješenje, SAP preporučuje da se prestane koristiti SQL Anywhere Monitor i da se izbrišu sve njegove instance baze podataka“, saopštio je Onapsis.
SAP je takođe objavio zakrpu za ranjivost CVE-2025-42887 (CVSS 9.9), kritični propust u Solution Manageru koji omogućava injekciju koda. Greška je postojala jer udaljena funkcija nije pravilno filtrirala korisnički unos, što je omogućavalo ubacivanje malicioznog koda.
Pored toga, SAP je ažurirao napomenu iz oktobarskog ciklusa radi dodatnog jačanja zaštite od ranjivosti nesigurne deserializacije u NetWeaver AS Java sistemu. Ova zakrpa se odnosi na CVE-2025-42944, ranjivost sa maksimalnim CVSS skorom od 10/10.
Nove zakrpe takođe rješavaju CVE-2025-42940 (CVSS 7.5), ranjivost korupcije memorije u CommonCryptoLib biblioteci.
„Zbog nedostatka provjera granica, napadač može poslati maliciozne podatke koji uzrokuju oštećenje memorije i rušenje aplikacije“, objašnjava Onapsis.
Preostale napomene iz novembarskog ciklusa odnose se na ranjivosti srednje i niske ozbiljnosti u komponentama HANA JDBC Client, Business Connector, NetWeaver, S/4HANA, HANA 2.0, SAP GUI za Windows, Starter Solution, Business One i S4CORE.
Između oktobarskih i novembarskih zakrpa, SAP je ažurirao šest bezbjednosnih napomena, uključujući onu iz oktobra 2025. koja je rješavala kritični propust neograničenog otpremanja fajlova u Supplier Relationship Management sistemu.
Taj propust, označen kao CVE-2025-42910 (CVSS 9.0), mogao je omogućiti autentifikovanim korisnicima da otpreme maliciozne fajlove. Ažurirana napomena sada sadrži i proširene informacije o važenju zakrpe.
SAP nije naveo da su bilo koje od ovih ranjivosti aktivno iskorišćene u napadima, ali korisnicima se preporučuje da odmah primijene zakrpe, jer su SAP sistemi česta meta hakera.
Izvor: SecurityWeek
