Η SAP κυκλοφόρησε τις ενημερώσεις ασφαλείας του Δεκεμβρίου που αντιμετωπίζουν 14 τρωτά σημεία σε μια σειρά προϊόντων, συμπεριλαμβανομένων τριών ελαττωμάτων κρίσιμης σοβαρότητας.
Το πιο σοβαρό (βαθμολογία CVSS: 9,9) από όλα τα ζητήματα είναι CVE-2025-42880ένα πρόβλημα εισαγωγής κωδικού που επηρεάζει το SAP Solution Manager ST 720.
“Λόγω έλλειψης αποχέτευσης εισόδου, το SAP Solution Manager επιτρέπει σε έναν επιβεβαιωμένο εισβολέα να εισάγει κακόβουλο κώδικα όταν καλεί μια λειτουργική μονάδα με δυνατότητα τηλεχειρισμού”, αναφέρεται στην περιγραφή του ελαττώματος.
“Αυτό θα μπορούσε να παρέχει στον εισβολέα πλήρη έλεγχο του συστήματος, με αποτέλεσμα να έχει μεγάλο αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα του συστήματος.”
Το SAP Solution Manager είναι η κεντρική πλατφόρμα διαχείρισης και παρακολούθησης κύκλου ζωής του πωλητή που χρησιμοποιείται από επιχειρήσεις για την παρακολούθηση συστημάτων, την τεχνική διαμόρφωση, το γραφείο συμβάντων και υπηρεσιών, τον κόμβο τεκμηρίωσης και τη διαχείριση δοκιμών.
Το επόμενο πιο σοβαρό ελάττωμα που επιδιορθώθηκε από το SAP αυτόν τον μήνα αφορά πολλαπλές ευπάθειες του Apache Tomcat που επηρεάζουν τα στοιχεία του SAP Commerce Cloud στις εκδόσεις HY_COM 2205, COM_CLOUD 2211 και COM_CLOUD 2211-JDK21.
Τα ελαττώματα παρακολουθούνται στο SAP Commerce Cloud κάτω από ένα μόνο αναγνωριστικό, CVE-2025-55754με βαθμολογία σοβαρότητας CVSS 9,6.
Το SAP Commerce Cloud είναι μια εταιρική πλατφόρμα ηλεκτρονικού εμπορίου που υποστηρίζει ηλεκτρονικά καταστήματα μεγάλης κλίμακας με καταλόγους προϊόντων, τιμές, προσφορές, ταμεία, διαχείριση παραγγελιών, λογαριασμούς πελατών και ενσωμάτωση ERP/CRM. Χρησιμοποιείται γενικά από μεγάλους λιανοπωλητές και παγκόσμιες μάρκες.
Το τρίτο κρίσιμο ελάττωμα (βαθμολογία CVSS: 9,1) που διορθώθηκε αυτόν τον μήνα είναι CVE-2025-42928μια ευπάθεια deserialization που επηρεάζει το SAP jConnect, το οποίο, υπό ορισμένες προϋποθέσεις, θα μπορούσε να επιτρέψει σε έναν χρήστη με υψηλά προνόμια να επιτύχει απομακρυσμένη εκτέλεση κώδικα στον στόχο μέσω ειδικά διαμορφωμένης εισόδου.
Το SAP jConnect είναι ένα πρόγραμμα οδήγησης JDBC που χρησιμοποιείται από προγραμματιστές και διαχειριστές βάσεων δεδομένων για τη σύνδεση εφαρμογών Java με βάσεις δεδομένων SAP ASE και SAP SQL Anywhere.
SAP’s Δεκέμβριος 2025 Το ενημερωτικό δελτίο παραθέτει επίσης επιδιορθώσεις για πέντε ελαττώματα υψηλής σοβαρότητας και έξι ζητήματα μέσης σοβαρότητας, συμπεριλαμβανομένης της καταστροφής της μνήμης, του ελλείποντος ελέγχου ταυτότητας και των ελέγχων εξουσιοδότησης, της δημιουργίας σεναρίων μεταξύ τοποθεσιών και της αποκάλυψης πληροφοριών.
Οι λύσεις SAP είναι βαθιά ενσωματωμένες σε εταιρικά περιβάλλοντα και διαχειρίζονται ευαίσθητους φόρτους εργασίας υψηλής αξίας, καθιστώντας τις πολύτιμο στόχο για τους εισβολείς.
Νωρίτερα αυτό το έτος, οι ερευνητές του SecurityBridge παρατήρησαν επιθέσεις in-the-wild που καταχρώνται ένα ελάττωμα εισαγωγής κωδικού (CVE-2025-42957) που επηρεάζει τις αναπτύξεις SAP S/4HANA, Business One και NetWeaver.
Η SAP δεν έχει επισημάνει κανένα από τα 14 ελαττώματα ως ενεργά αξιοποιήσιμα στη φύση, αλλά οι διαχειριστές θα πρέπει να αναπτύξουν τις επιδιορθώσεις χωρίς καθυστέρηση.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
