はじめに
SAPは、2025年11月のセキュリティアップデートをリリースし、複数のセキュリティ脆弱性に対処しました。これには、SQL Anywhere Monitorの非GUI版における最大深刻度の脆弱性と、Solution Managerプラットフォームにおける重大なコードインジェクションの問題が含まれています。
SQL Anywhere Monitorの認証情報脆弱性
SQL Anywhere Monitorのセキュリティ問題は、CVE-2025-42890として追跡されており、ハードコードされた認証情報に起因します。この脆弱性は、その高いリスクから最大深刻度10.0と評価されています。
「SQL Anywhere Monitor(非GUI)は、コードに認証情報が組み込まれており、意図しないユーザーにリソースや機能が公開され、攻撃者に任意のコード実行の可能性を提供します」と説明されています。攻撃者がこれらの認証情報を取得した場合、その使用方法によっては、管理機能にアクセスできる可能性があります。
SQL Anywhere Monitorは、分散型またはリモートデータベースを管理する組織で一般的に使用されるデータベース監視およびアラートツールです。非GUIモニターコンポーネントは、通常、頻繁な人間の監視なしで動作する無人アプライアンスに展開されます。
SAP Solution Managerのコードインジェクション脆弱性
2番目の重大な脆弱性はCVE-2025-42887として識別され、深刻度9.9と評価されており、SAP Solution Managerに影響を与えます。
「入力検証の欠如により、SAP Solution Managerは、リモート対応の関数モジュールを呼び出す際に、認証された攻撃者が悪意のあるコードを挿入することを許容します」とNational Vulnerability Databaseのエントリには記載されています。「これにより、攻撃者はシステムの完全な制御権を得ることができ、システムの機密性、完全性、可用性に高い影響を与える可能性があります。」
SAP Solution Managerは、SAP環境向けの集中管理および監視プラットフォームであり、ERP、CRM、分析ソリューションを含む複雑なネットワークを運用する大企業で一般的に使用されます。
その他の修正と背景
2025年11月のセキュリティアップデートパックでは、SAPはさらに1件の高深刻度脆弱性(CVE-2025-42940)と14件の中深刻度脆弱性に対する修正もリリースしました。また、先月対処されたNetWeaverの重大な脆弱性CVE-2025-42944に対する更新も含まれています。
SAP製品は、大規模企業で広く展開され、ミッションクリティカルなデータを扱っているため、高価値のアクセスを求める脅威アクターの頻繁な標的となっています。今年初めには、SecurityBridgeの研究者が、SAP S/4HANA、Business One、NetWeaverシステムに影響を与える重大なコードインジェクション脆弱性(CVE-2025-42957)の積極的な悪用を報告しています。
推奨事項
今回修正された2つの重大な脆弱性について、現時点では積極的な悪用は検出されていません。しかし、システム管理者は、利用可能なアップデートをできるだけ早く適用し、CVE-2025-42890およびCVE-2025-42887に対するベンダーの緩和策(アカウント保持者のみアクセス可能)に従うことが強く推奨されます。