- CVE-2025-42887 в SAP Solution Manager позволяет внедрить код без аутентификации и полностью перехватить систему.
- Уязвимость с рейтингом 9,9/10; Исправление, выпущенное в обновлении SAP за ноябрь 2025 г.
- SAP также исправила CVE-2024-42890, ошибку 10/10 в SQL Anywhere Monitor.
Эксперты предупреждают, что SAP Solution Manager, платформа управления жизненным циклом приложений (ALM) с десятками тысяч пользовательских организаций, имела уязвимость критической серьезности, которая позволяла злоумышленникам полностью взять под свой контроль скомпрометированные конечные точки.
Исследователи безопасности SecurityBridge, уведомившие SAP после обнаружения уязвимости, описали уязвимость «отсутствующей очистки входных данных», которая позволяет неаутентифицированным злоумышленникам внедрять вредоносный код при вызове функционального модуля с удаленной поддержкой.
«Это может дать злоумышленнику полный контроль над системой и, следовательно, оказать существенное влияние на конфиденциальность, целостность и доступность системы», — пояснили в Национальной базе данных уязвимостей (NVD).
SAP исправляет ошибку 10/10
Ошибка теперь отслеживается как CVE-2025-42887 и получила степень серьезности 9,9/10 (критическая).
Патч теперь общедоступен, и хотя пользователи SAP ранее были уведомлены, исследователи еще раз призывают всех применить его как можно скорее, поскольку в будущем риск будет только возрастать:
«Сегодня был выпущен общедоступный патч для этой уязвимости, который может ускорить обратное проектирование и разработку эксплойтов, поэтому рекомендуется исправить его как можно скорее», — говорится в заявлении SecurityBridge.
«Когда мы обнаруживаем уязвимость, которая получает приоритетный рейтинг 9,9 из 10, мы знаем, что имеем дело с угрозой, которая может дать злоумышленникам полный контроль над системой», — сказал Йорис ван де Вис, директор по исследованиям безопасности в SecurityBridge.
«CVE-2025-42887 особенно опасен, поскольку он позволяет внедрять код от пользователя с низким уровнем привилегий, что приводит к полной компрометации SAP и всех данных, содержащихся в системе SAP. Эта уязвимость внедрения кода в SAP Solution Manager представляет собой именно тот тип критической уязвимости поверхности атаки, над выявлением и устранением которой неустанно работают наши лаборатории исследования угроз. Системы SAP являются основой бизнес-операций, и подобные уязвимости напоминают нам, почему так важно превентивное исследование безопасности». не подлежит обсуждению».
Уязвимость была устранена в рамках ноябрьского патч-дня SAP — накопительного обновления, которое исправляет 18 новых ошибок и обновляет две ранее обнаруженные ошибки. В дополнение к указанной выше ошибке SAP исправила ошибку 10/10 в варианте SQL Anywhere Monitor без графического интерфейса. Эта ошибка отслеживается как CVE-2024-42890 и является еще одним случаем жестко запрограммированных учетных данных.
«SQL Anywhere Monitor (без графического пользовательского интерфейса) имеет учетные данные, встроенные в код, предоставляя ресурсы или функции нежелательным пользователям и предоставляя злоумышленникам возможность выполнять произвольный код», — говорится в описании. SQL Anywhere Monitor — это инструмент мониторинга базы данных и оповещения, входящий в состав пакета SQL Anywhere.
Лучшая антивирусная программа на любой бюджет
Следите за TechRadar в Новостях Google. И Добавьте нас в качестве предпочтительного источника чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!
И ты, конечно, тоже можешь Следите за TechRadar в TikTok за новостями, обзорами, распаковками в видео-форме и получайте от нас регулярные обновления WhatsApp к.
