SAP telah merilis pembaruan keamanan bulan November yang mengatasi berbagai kerentanan keamanan, termasuk kelemahan tingkat keparahan maksimum pada varian non-GUI dari SQL Anywhere Monitor dan masalah injeksi kode kritis pada platform Solution Manager.
Masalah keamanan di SQL Anywhere Monitor dilacak sebagai CVE-2025-42890 dan terdiri dari kredensial hardcode. Karena tingginya risiko, kerentanan menerima skor tingkat keparahan maksimum 10,0.
“SQL Anywhere Monitor (Non-GUI) memasukkan kredensial ke dalam kode, mengekspos sumber daya atau fungsionalitas kepada pengguna yang tidak diinginkan dan memberikan kemungkinan eksekusi kode arbitrer kepada penyerang,” demikian bunyinya. keterangan untuk kekurangannya.
Bergantung pada cara penggunaannya, penyerang yang memperoleh kredensial dapat menggunakannya untuk mengakses fungsi administratif.
SQL Anywhere Monitor adalah alat pemantauan dan peringatan database, bagian dari rangkaian SQL Anywhere, biasanya digunakan oleh organisasi yang mengelola database terdistribusi atau jarak jauh.
Komponen monitor non-GUI biasanya digunakan pada peralatan tanpa pengawasan yang dijalankan tanpa pengawasan manusia.
Kerentanan kritis kedua, yang diidentifikasi sebagai CVE-2025-42887, memiliki skor tingkat keparahan 9,9 dan memengaruhi SAP Solution Manager, sebuah platform untuk manajemen siklus hidup aplikasi.
“Karena sanitasi input yang hilang, SAP Solution Manager memungkinkan penyerang terotentikasi untuk memasukkan kode berbahaya saat memanggil modul fungsi yang diaktifkan dari jarak jauh,” membaca entri tersebut dalam Basis Data Kerentanan Nasional.
“Hal ini dapat memberikan penyerang kendali penuh atas sistem sehingga berdampak besar pada kerahasiaan, integritas, dan ketersediaan sistem.”
SAP Solution Manager adalah platform manajemen dan pemantauan terpusat untuk lingkungan SAP, biasanya digunakan oleh perusahaan besar yang mengoperasikan jaringan kompleks yang mencakup solusi ERP, CRM, dan analitik.
Dalam konteks Pembaruan keamanan November 2025 paket, SAP juga merilis perbaikan untuk satu kelemahan dengan tingkat keparahan tinggi (CVE-2025-42940) dan 14 kerentanan dengan tingkat keparahan sedang lainnya.
Selain itu, raksasa perangkat lunak Jerman ini merilis pembaruan untuk CVE-2025-42944, sebuah kelemahan kritis pada NetWeaver yang awalnya ditangani bulan lalu.
Produk-produk SAP, yang diterapkan secara luas di perusahaan-perusahaan besar dan dipercayakan dengan data-data penting, sering menjadi sasaran para pelaku ancaman yang mencari akses bernilai tinggi.
Awal tahun ini, peneliti SecurityBridge melaporkan eksploitasi aktif dari kerentanan injeksi kode kritis, yang dilacak sebagai CVE-2025-42957, memengaruhi sistem SAP S/4HANA, Business One, dan NetWeaver.
Tidak ada eksploitasi aktif yang terdeteksi untuk dua kelemahan kritis yang diperbaiki SAP hari ini, namun administrator sistem disarankan untuk menerapkan pembaruan yang tersedia sesegera mungkin dan mengikuti rekomendasi mitigasi vendor untuk CVE-2025-42890 Dan CVE-2025-42887 (hanya dapat diakses oleh pemegang akun).
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
