SAP geliştiricilerinin toplam beş “Temmuz ayında Patchday”eleştirmen“En kötü durumda, zararlı musluklar sistemleri tehlikeye atabilir. Şimdiye kadar saldırganların zaten boşluklar kullandığına dair bir kanıt yok.
Mevcut Patchday için bildirim mesajında, yöneticiler mevcut güvenlik güncellemeleri hakkında bilgi bulurlar.
Tehlikeli zayıflıklar
Kritik boşluklar, Kurumsal NetWeaver Portalı (CVE-2025-42964), NetWeaver Enterprise Portalı Federasyonlu Portal Ağı (CVE-2025-42980), S/4HANA ve SCM (CVE-2025-42967) ve Sunucusu JAVA (CVE -2025-Sunucusu) ile ilgilidir.
Bir saldırganın kullanıcı ayrıcalıkları varsa, belirtilmemiş bir yolda zararlı bir kod yapabilir ve bu nedenle sistemler üzerinde tam kontrol elde edebilir. Diğer durumlarda, kaydedilen saldırganlar bilgisayarları tehlikeye atmak için zararlı bir kodla hazırlanan verileri yükleyebilir.
Daha Fazla Tehlikeler
Buna ek olarak, ABAP için NetWeaver Uygulama Sunucusu bağlamında zaten kaydedilen saldırganlar, kimlik doğrulama hataları nedeniyle daha yüksek kullanıcı kullanıcıları sağlayabilir (CVE-2025-42953).
Apache-Treffs bileşenindeki bir hata nedeniyle, saldırganlar Shadcode Business Intelligence Platformunda (CVE-2025-53677 “yükleyebilir ve performans gösterebilir.”yüksek“). İş deposunda ve eklenti tabanında, kimlik doğrulamalı saldırganlar veritabanı tablolarını manipüle edebilir ve sistemi kullanılamaz hale getirebilir (CVE 2025-42952”yüksek“).
Kalan zayıflıkların çoğu tehdit derecesi ile ilgilidir “orta“Sıralı. Diğer şeylerin yanı sıra, XSS saldırıları bu noktalarda düşünülebilir.
Yamanın son gününde SAP, Netweaver'daki kritik boşlukları da kapattı.
(DES)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!
Mevcut Patchday için bildirim mesajında, yöneticiler mevcut güvenlik güncellemeleri hakkında bilgi bulurlar.
Tehlikeli zayıflıklar
Kritik boşluklar, Kurumsal NetWeaver Portalı (CVE-2025-42964), NetWeaver Enterprise Portalı Federasyonlu Portal Ağı (CVE-2025-42980), S/4HANA ve SCM (CVE-2025-42967) ve Sunucusu JAVA (CVE -2025-Sunucusu) ile ilgilidir.
Bir saldırganın kullanıcı ayrıcalıkları varsa, belirtilmemiş bir yolda zararlı bir kod yapabilir ve bu nedenle sistemler üzerinde tam kontrol elde edebilir. Diğer durumlarda, kaydedilen saldırganlar bilgisayarları tehlikeye atmak için zararlı bir kodla hazırlanan verileri yükleyebilir.
Daha Fazla Tehlikeler
Buna ek olarak, ABAP için NetWeaver Uygulama Sunucusu bağlamında zaten kaydedilen saldırganlar, kimlik doğrulama hataları nedeniyle daha yüksek kullanıcı kullanıcıları sağlayabilir (CVE-2025-42953).
Apache-Treffs bileşenindeki bir hata nedeniyle, saldırganlar Shadcode Business Intelligence Platformunda (CVE-2025-53677 “yükleyebilir ve performans gösterebilir.”yüksek“). İş deposunda ve eklenti tabanında, kimlik doğrulamalı saldırganlar veritabanı tablolarını manipüle edebilir ve sistemi kullanılamaz hale getirebilir (CVE 2025-42952”yüksek“).
Kalan zayıflıkların çoğu tehdit derecesi ile ilgilidir “orta“Sıralı. Diğer şeylerin yanı sıra, XSS saldırıları bu noktalarda düşünülebilir.
Yamanın son gününde SAP, Netweaver'daki kritik boşlukları da kapattı.
(DES)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!