SAP、12月のセキュリティアップデートを公開
SAPは、12月のセキュリティアップデートとして、広範囲にわたる製品で発見された14の脆弱性に対処しました。このうち、特に緊急性の高い3つの脆弱性が「重大」と評価されています。
SAP Solution Managerのコードインジェクション脆弱性
最も深刻な脆弱性(CVSSスコア: 9.9)は、SAP Solution Manager ST 720に影響を与えるコードインジェクションの問題、CVE-2025-42880です。不適切な入力検証により、認証された攻撃者がリモート有効な関数モジュールを呼び出す際に悪意のあるコードを挿入できる可能性があります。これにより、システムが完全に制御され、機密性、完全性、可用性に重大な影響を与える恐れがあります。
SAP Solution Managerは、システム監視、技術構成、インシデントおよびサービスデスク、ドキュメント管理、テスト管理などに使用される、SAPの統合ライフサイクル管理および監視プラットフォームです。
SAP Commerce CloudにおけるApache Tomcatの脆弱性
次に深刻な脆弱性(CVSSスコア: 9.6)は、CVE-2025-55754として追跡されている、SAP Commerce Cloudコンポーネントに影響を与える複数のApache Tomcat脆弱性です。これは、バージョンHY_COM 2205、COM_CLOUD 2211、およびCOM_CLOUD 2211-JDK21に影響を及ぼします。
SAP Commerce Cloudは、大規模なオンラインストアを支えるエンタープライズグレードのeコマースプラットフォームであり、製品カタログ、価格設定、プロモーション、チェックアウト、注文管理、顧客アカウント、ERP/CRM連携などの機能を提供しています。
SAP jConnectのデシリアライゼーション脆弱性
3つ目の重大な脆弱性(CVSSスコア: 9.1)は、SAP jConnectに影響を与えるデシリアライゼーション脆弱性、CVE-2025-42928です。特定の条件下で、特権の高いユーザーが悪意を持って作成された入力により、標的システム上でリモートコード実行を達成できる可能性があります。
SAP jConnectは、開発者やデータベース管理者がJavaアプリケーションをSAP ASEおよびSAP SQL Anywhereデータベースに接続するために使用するJDBCドライバーです。
その他の高・中程度の脆弱性への対処
SAPの2025年12月のセキュリティ速報には、他に5つの高 severity の脆弱性と6つの中 severity の脆弱性に対する修正も含まれています。これらには、メモリ破損、認証および認可チェックの欠落、クロスサイトスクリプティング、情報漏洩などが含まれます。
迅速なパッチ適用が必須
SAPソリューションは企業のシステムに深く組み込まれており、機密性の高い高価値のワークロードを管理しているため、攻撃者にとって非常に魅力的な標的となります。今年初めには、SecurityBridgeの研究者らが、SAP S/4HANA、Business One、NetWeaverの導入環境に影響を与えるコードインジェクション脆弱性(CVE-2025-42957)を悪用した現実世界での攻撃を観測しています。
SAPは、今回修正された14の脆弱性について、現時点での積極的な悪用は確認されていないとしていますが、システム管理者は遅延なく修正プログラムを適用することが強く推奨されます。