- CVE-2025-42887 di SAP Solution Manager memungkinkan injeksi kode yang tidak diautentikasi dan pengambilalihan sistem penuh
- Kerentanan mendapat skor 9,9/10; patch dirilis dalam pembaruan SAP November 2025
- SAP juga memperbaiki CVE-2024-42890, cacat 10/10 di SQL Anywhere Monitor
SAP Solution Manager, sebuah platform manajemen siklus hidup aplikasi (ALM) dengan puluhan ribu organisasi pengguna, memiliki kerentanan tingkat kritis yang memungkinkan pelaku ancaman untuk sepenuhnya mengambil alih sistem yang disusupi. titik akhirpara ahli telah memperingatkan.
Peneliti keamanan SecurityBridge, yang memberi tahu SAP setelah menemukan kelemahan tersebut, menggambarkan kerentanan “sanitasi masukan yang hilang”, yang memungkinkan pelaku ancaman yang tidak diautentikasi untuk memasukkan kode berbahaya saat memanggil modul fungsi yang diaktifkan dari jarak jauh.
“Hal ini dapat memberikan penyerang kendali penuh atas sistem sehingga berdampak besar pada kerahasiaan, integritas, dan ketersediaan sistem”, jelas National Vulnerability Database (NVD).
SAP memperbaiki bug 10/10
Bug tersebut sekarang dilacak sebagai CVE-2025-42887 dan diberi skor tingkat keparahan 9,9/10 (kritis).
Sebuah patch kini tersedia untuk umum, dan meskipun pengguna SAP telah diberitahu sebelumnya, para peneliti sekali lagi mendesak semua orang untuk menerapkannya sesegera mungkin karena risikonya akan semakin besar di masa mendatang:
“Patch publik untuk kerentanan ini telah dirilis hari ini, yang mungkin mempercepat pengembangan rekayasa balik dan eksploitasi, jadi disarankan untuk segera melakukan patching,” kata SecurityBridge dalam pengumumannya.
“Saat kami menemukan kerentanan dengan skor prioritas 9,9 dari 10, kami tahu bahwa kami sedang melihat ancaman yang dapat memberikan penyerang kontrol sistem yang lengkap,” kata Joris van de Vis, Direktur Riset Keamanan, SecurityBridge.
“CVE-2025-42887 sangat berbahaya karena memungkinkan untuk menyuntikkan kode dari pengguna dengan hak istimewa rendah, yang mengarah pada kompromi SAP penuh dan semua data yang terkandung dalam sistem SAP. Kerentanan injeksi kode di SAP Solution Manager mewakili jenis kelemahan permukaan serangan kritis yang bekerja tanpa kenal lelah oleh Threat Research Labs kami untuk mengidentifikasi dan menghilangkannya. Sistem SAP adalah tulang punggung operasi bisnis, dan kerentanan seperti ini mengingatkan kita mengapa penelitian keamanan proaktif diperlukan tidak bisa dinegosiasikan.”
Kerentanan telah diperbaiki sebagai bagian dari Patch Day November SAP, pembaruan kumulatif yang mengatasi 18 bug baru dan pembaruan pada dua bug yang diamati sebelumnya. Selain yang disebutkan di atas, SAP memperbaiki kelemahan 10/10 pada varian non-GUI dari SQL Anywhere Monitor. Bug ini dilacak sebagai CVE-2024-42890 dan merupakan kasus lain dari kredensial hardcode.
“SQL Anywhere Monitor (Non-GUI) memasukkan kredensial ke dalam kode, mengekspos sumber daya atau fungsionalitas kepada pengguna yang tidak diinginkan dan memberikan kemungkinan eksekusi kode arbitrer kepada penyerang,” demikian bunyi deskripsinya. SQL Anywhere Monitor adalah alat pemantauan dan peringatan database, dan bagian dari rangkaian SQL Anywhere.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
