サイバーニュース.jp

世界のサイバーなニュースを配信

SAPセキュリティパッチデー、Solution Manager、NetWeaver等の重大な脆弱性を修正

カテゴリ:

概要

SAPは2025年12月のセキュリティパッチデー更新をリリースし、主要なエンタープライズ製品にわたる14件の新規セキュリティノートに対応しました。これには、複数の重大および高深刻度の脆弱性修正が含まれています。管理者は、SAP環境を保護するため、SAPサポートポータルで最新のセキュリティノートを速やかに確認し、パッチを適用することが強く推奨されます。

重大な脆弱性

今月最も深刻な問題は、SAP Solution Manager (ST 720) におけるコードインジェクションの脆弱性 (CVE-2025-42880) であり、CVSSスコアは9.9と「Critical」に評価されています。この脆弱性は、認証された低権限の攻撃者が影響を受けるシステムに任意のコードを注入・実行することを可能にする恐れがあります。悪用が成功すると、機密性、完全性、可用性が完全に侵害される可能性があるため、このパッチはSAP Basisチームおよびセキュリティチームにとって最優先事項です。

その他の主要な更新として、SAP Commerce CloudのApache Tomcatにおける複数の脆弱性 (CVE-2025-55754および関連するCVE-2025-55752) が修正されました。これらはHY_COM 2205、COM_CLOUD 2211、およびCOM_CLOUD 2211-JDK21に影響し、CVSSスコア9.6の「Critical」に分類されます。また、SAP jConnect – SDK for ASE (16.0.4, 16.1) のデシリアライゼーションの脆弱性 (CVE-2025-42928) もCVSSスコア9.1の「Critical」と評価されています。不適切なシリアライズオブジェクトの処理は、特定の条件下でコード実行に悪用される可能性があり、jConnectを使用する開発および統合環境の更新が不可欠です。

主な脆弱性一覧

  • CVE-2025-42880: SAP Solution Manager (ST 720) – コードインジェクション (Critical, CVSS 9.9)
  • CVE-2025-55754: SAP Commerce Cloud (HY_COM 2205, COM_CLOUD 2211, 2211-JDK21) – Apache Tomcatにおける複数の脆弱性 (Critical, CVSS 9.6)
  • CVE-2025-42928: SAP jConnect – SDK for ASE (16.0.4, 16.1) – デシリアライゼーションの脆弱性 (Critical, CVSS 9.1)
  • CVE-2025-42878: SAP Web Dispatcher & Internet Communication Manager (ICM) – 機密データ漏洩 (High, CVSS 8.2)
  • CVE-2025-42874: SAP NetWeaver (Xcelsius向けリモートサービス) – サービス拒否 (DoS) (High, CVSS 7.9)
  • CVE-2025-48976: SAP Business Objects (ENTERPRISE 430, 2025, 2027) – サービス拒否 (DoS) (High, CVSS 7.5)
  • CVE-2025-42877: SAP Web Dispatcher, ICM & SAP Content Server – メモリ破損 (High, CVSS 7.5)
  • CVE-2025-42876: SAP S/4HANA Private Cloud (Financials General Ledger) – 認証チェックの欠如 (High, CVSS 7.1)
  • CVE-2025-42875: SAP NetWeaver Internet Communication Framework – 認証チェックの欠如 (Medium, CVSS 6.6)
  • CVE-2025-42904: Application Server ABAP (Kernel) – 情報開示 (Medium, CVSS 6.5)
  • CVE-2025-42872: SAP NetWeaver Enterprise Portal (EP-RUNTIME 7.50) – クロスサイトスクリプティング (XSS) (Medium, CVSS 6.1)
  • CVE-2025-42873: SAPUI5 framework (Markdown-it component) – サービス拒否 (DoS) (Medium, CVSS 5.9)
  • CVE-2025-42891: SAP Enterprise Search for ABAP – 認証チェックの欠如 (Medium, CVSS 5.5)
  • CVE-2025-42896: SAP BusinessObjects BI Platform (ENTERPRISE 430, 2025, 2027) – サーバーサイドリクエストフォージェリ (SSRF) (Medium, CVSS 5.4)

高深刻度および中深刻度の脆弱性

コアインフラコンポーネントでは、複数の高深刻度脆弱性が修正されています。SAP Web DispatcherおよびInternet Communication Manager (ICM) の機密データ漏洩 (CVE-2025-42878) と、SAP Web Dispatcher、ICM、SAP Content Serverのメモリ破損 (CVE-2025-42877) は、ネットワーク経由で悪用される可能性があります。その他の高優先度ノートには、SAP NetWeaver (Xcelsius向けリモートサービス) (CVE-2025-42874) とSAP Business Objects (CVE-2025-48976) のサービス拒否 (DoS) 脆弱性、およびSAP S/4HANA Private Cloud Financials General Ledgerの認証チェック欠如 (CVE-2025-42876) が含まれます。

中深刻度脆弱性には、認証および認可チェックの欠如、情報開示、クロスサイトスクリプティング (XSS)、SAPUI5 Markdown-itコンポーネントにおけるサービス拒否、SAP BusinessObjects Business Intelligence Platformにおけるサーバーサイドリクエストフォージェリ (SSRF) が含まれています。CVSSスコアは低いものの、これらの脆弱性も特に複雑な、インターネットに接続された、またはマルチテナントの環境では現実的なリスクをもたらします。

推奨事項

SAPは、顧客に対し、公開されているセキュリティ強化ガイドラインに従い、セキュリティ設定ベースラインを定期的に見直し、毎月のパッチを適用することを推奨しています。組織は、重大および高深刻度のノートを優先し、テストシステムで緩和策を検証した後、構造化されたパッチ管理プロセスの一環として本番環境に展開すべきです。

元記事: https://gbhackers.com/sap-security-patch-day-fixes-critical-flaws/

投稿をさらに読み込む