SAP je objavio decembarska bezbjednosna ažuriranja koja adresiraju 14 ranjivosti u širokom spektru proizvoda, uključujući tri sa kritičnom ozbiljnošću.
Najozbiljnija od svih (CVSS rezultat: 9.9) je CVE-2025-42880, problem ubrizgavanja koda koji utiče na SAP Solution Manager ST 720.
“Zbog nedostajuće sanitizacije unosa, SAP Solution Manager omogućava autentifikovanom hakeru da ubaci maliciozni kod prilikom pozivanja funkcijskog modula koji podržava udaljeno izvršavanje”, navodi se u opisu ranjivosti.
“Ovo bi hakeru moglo obezbijediti punu kontrolu nad sistemom, što dovodi do visokog uticaja na povjerljivost, integritet i dostupnost sistema.”
SAP Solution Manager je centralna platforma vendora za upravljanje životnim ciklusom i nadzor, koju organizacije koriste za sistemski monitoring, tehničku konfiguraciju, incident i service desk, dokumentaciju i test menadžment.
Sljedeća najozbiljnija ranjivost koju je SAP ispravio ovog mjeseca odnosi se na više Apache Tomcat ranjivosti koje utiču na komponente SAP Commerce Cloud-a u verzijama HY_COM 2205, COM_CLOUD 2211 i COM_CLOUD 2211-JDK21.
Ove ranjivosti su objedinjene u SAP Commerce Cloudu pod jednim identifikatorom, CVE-2025-55754, sa CVSS ocjenom težine 9.6.
SAP Commerce Cloud je enterprise platforma za e-commerce koja pokreće velike online prodavnice sa katalogom proizvoda, cijenama, promocijama, checkout-om, upravljanjem porudžbinama, korisničkim nalozima i ERP/CRM integracijom. Uglavnom ga koriste veliki trgovci i globalni brendovi.
Treća kritična ranjivost (CVSS rezultat: 9.1) ispravljena ovog mjeseca je CVE-2025-42928, ranjivost deserializacije koja utiče na SAP jConnect i koja, pod određenim uslovima, može omogućiti visoko privilegovanom korisniku da postigne udaljeno izvršavanje koda na meti putem posebno oblikovanog unosa.
SAP jConnect je JDBC drajver koji programeri i administratori baza koriste za povezivanje Java aplikacija sa SAP ASE i SAP SQL Anywhere bazama.
SAP-ov decembarski bilten za 2025. godinu takođe navodi ispravke za pet ranjivosti visokog rizika i šest srednjeg rizika, uključujući oštećenje memorije, nedostajuće provjere autentikacije i autorizacije, cross-site scripting i curenje informacija.
SAP rješenja su duboko ukorijenjena u enterprise okruženjima i upravljaju osjetljivim, visokovrijednim radnim opterećenjima, što ih čini privlačnom metom za hakere.
Ranije ove godine, istraživači iz SecurityBridge-a primijetili su napade u divljini koji zloupotrebljavaju ranjivost ubrizgavanja koda (CVE-2025-42957) koja utiče na SAP S/4HANA, Business One i NetWeaver okruženja.
SAP nije označio nijednu od 14 ranjivosti kao aktivno eksploatisanu u stvarnom okruženju, ali administratori bi trebalo da primijene ispravke bez odlaganja.
Izvor: BleepingComputer
