- Pembaruan SAP bulan Desember menambal 14 kelemahan, termasuk tiga kerentanan kritis pada produk-produk utama
- CVE‑2025‑42880 (9.9) di SAP Solution Manager memungkinkan injeksi kode dan kompromi sistem penuh
- CVE‑2025‑55754 (9.6) di Apache Tomcat dan CVE‑2025‑42928 (9.1) di SAP jConnect memungkinkan eksekusi kode jarak jauh dalam kondisi tertentu
SAP telah merilis pembaruan keamanan kumulatif bulan Desember, yang memperbaiki 14 kerentanan yang ditemukan di berbagai produk. Diantaranya adalah tiga kelemahan kritis yang harus segera diatasi.
Daftar lengkap kerentanan yang telah diatasi dapat ditemukan di tautan ini.
Bug paling kritis yang diperbaiki kali ini adalah kerentanan injeksi kode yang ditemukan di SAP Solution Manager ST 720, tingkat tumpukan paket dukungan khusus dari SAP Solution Manager 7.2 yang menyediakan alat terbaru untuk manajemen siklus hidup aplikasi, pemantauan sistem, dan manajemen layanan TI.
SAP Ecommerce Cloud terpengaruh
Bug tersebut dilacak sebagai CVE-2025-42880 dan diberi skor tingkat keparahan 9,9/10 (kritis).
“Karena sanitasi input hilang, SAP Solution Manager mengizinkan penyerang terotentikasi untuk memasukkan kode berbahaya saat memanggil modul fungsi yang diaktifkan dari jarak jauh,” jelas catatan CVE. “Hal ini dapat memberi penyerang kendali penuh atas sistem sehingga berdampak besar pada kerahasiaan, integritas, dan ketersediaan sistem.”
Cacat terbesar kedua adalah netralisasi bug escape, meta, atau control sequence yang tidak tepat di Apache Tomcat, yang memengaruhi komponen SAP Commerce Cloud. Penyakit ini dilacak sebagai CVE-2025-55754 dan memiliki skor tingkat keparahan 9,6/10 (kritis).
“Tomcat tidak lolos dari rangkaian escape ANSI dalam pesan log,” demikian bunyi halaman CVE. “Jika Tomcat dijalankan di konsol pada Windows sistem operasidan konsol mendukung rangkaian escape ANSI, penyerang dapat menggunakan URL yang dibuat khusus untuk memasukkan rangkaian escape ANSI guna memanipulasi konsol dan clipboard serta berupaya mengelabui administrator agar menjalankan perintah yang dikendalikan penyerang.”
Peringatan tersebut juga menyatakan bahwa tidak ada vektor serangan yang diketahui, namun serangan ini mungkin saja terjadi pada sistem operasi lain.
Yang ketiga adalah bug deserialisasi di SAP jConnect yang memungkinkan pengguna dengan hak istimewa tinggi mengeksekusi kode berbahaya dari jarak jauh, tetapi hanya jika kondisi tertentu terpenuhi. Bug ini dilacak sebagai CVE-2025-42928 dan diberi skor tingkat keparahan 9,1/10 (kritis).
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
