SAP je objavio svoje julsko izdanje sigurnosnih zakrpa za 2025. godinu, rješavajući značajan broj ranjivosti u svom portfelju poslovnog softvera. Ovo sveobuhvatno sigurnosno ažuriranje uključuje 27 novih sigurnosnih bilješki i 3 ažuriranja ranije objavljenih zakrpa, pri čemu je sedam ranjivosti klasifikovano kao kritične na osnovu njihovih CVSS ocjena. Najozbiljnija ranjivost, koja utiče na SAP Sistem za upravljanje odnosima sa dobavljačima (Live Auction Cockpit), dobila je maksimalnu CVSS ocjenu od 10.0, ukazujući na hitnu potrebu za hitnim ažuriranjem u SAP okruženjima širom svijeta.
Ključni zaključci ovog ažuriranja su da je SAP 8. jula 2025. godine izdao 27 novih sigurnosnih bilješki, uz 3 ažuriranja postojećih. Identifikovano je sedam kritičnih ranjivosti, od kojih je CVE-2025-30012 postigla maksimalnu CVSS ocjenu od 10.0. Ove ranjivosti pogađaju ključne SAP proizvode, uključujući S/4HANA, NetWeaver, ABAP Platform i SAPCAR. Preporučuje se hitna primjena zakrpa za kritične ranjivosti povezane s provjerom autentičnosti i ubacivanjem kodova.
Kritična ranjivost u SAP SRM-u (CVE-2025-30012) predstavlja najozbiljniju prijetnju za SAP okruženja, zahtijevajući trenutno administrativno djelovanje. Ova ranjivost, koja se nalazi u SAP Supplier Relationship Management (Live Auction Cockpit) verziji SRM_SERVER 7.14, ima maksimalnu CVSS ocjenu 10.0, što ukazuje na izuzetno visok rizik od potpune kompromitacije sistema. Problem je dio šireg sigurnosnog problema koji obuhvata više povezanih CVE-ova, uključujući CVE-2025-30009, CVE-2025-30010, CVE-2025-30011 i CVE-2025-30018, što sugerira mogućnost napada na više komponenti ili funkcija unutar Live Auction Cockpit-a istovremeno.
Šest dodatnih kritičnih propusta, sa CVSS ocjenom 9.1, cilja na različite komponente SAP infrastrukture. CVE-2025-42967 se odnosi na ranjivost ubacivanja koda u SAP S/4HANA i SAP SCM (Characteristic Propagation), pogađajući verzije SCMAPO 713-714, S4CORE 102-104 i S4COREOP 105-108. Preostale kritične ranjivosti usredsređene su na nesigurnu deserializaciju u komponentama SAP NetWeaver Enterprise Portal, uključujući CVE-2025-42980 u Federated Portal Network, CVE-2025-42964 u Portal Administration, CVE-2025-42966 u XML Data Archiving Service i CVE-2025-42963 u aplikaciji Log Viewer za Java okruženja.
Visokoprioritetne ranjivosti uključuju CVE-2025-42959, koja se bavi nedostajućim provjerama autentičnosti u SAP NetWeaver ABAP Server i ABAP Platform za više verzija SAP_BASIS od 700 do 915, sa CVSS ocjenom 8.1. Ranji-vosti srednjeg prioriteta obuhvataju širok spektar sigurnosnih problema, uključujući Cross-Site Scripting (XSS) ranjivosti poput CVE-2025-42969 u SAP NetWeaver Application Server ABAP i CVE-2025-42962 u SAP Business Warehouse. Ranji-vosti obuhvaćanja direktorija koje utiču na SAPCAR (CVE-2025-42970) i problemi eskalacije privilegija (CVE-2025-43001) dodatno naglašavaju sveobuhvatnu prirodu ovog sigurnosnog ažuriranja. Ususret tome, SAPCAR uslužni program, neophodan za upravljanje SAP paketima, zahtijeva pažnju u verzijama 7.53 i 7.22EXT kako bi se riješili višestruki sigurnosni problemi, uključujući oštećenje memorije (CVE-2025-42971) i nesigurne operacije datoteka.
Hitno je potrebno primijeniti zakrpe, a SAP je naglasio kritičnu važnost njihovovog trenutnog apliciranja, posebno zbog ozbiljnosti identifikovanih ranjivosti. Kompanija snažno preporučuje korisnicima da posjete Podršku i daju prioritet implementaciji zakrpa kako bi zaštitili svoje SAP okruženje od potencijalnih sigurnosnih proboja. Širok spektar pogođenih proizvoda, od SAP_BASIS komponenti do specijalizovanih aplikacija kao što je Business Objects Business Intelligence Platform, naglašava važnost sveobuhvatnih strategija upravljanja zakrpama. Ažuriranja rješavaju temeljne sigurnosne probleme, uključujući zaobilaženje provjere autentičnosti, neuspjehe u autorizaciji i ranjivosti ubacivanja koje bi potencijalno mogle kompromitovati cijela SAP okruženja.
