Siber saldırganların SAP'nin en önemli Kurumsal Kaynak Planlama (ERP) yazılımlarındaki kritik bir güvenlik açığını aktif olarak kullanmaya başlamasının ardından, SAP kullanıcıları için ek bir uyarıda bulundu. Şirket, en yüksek derecede ciddiyete sahip bir güvenlik açığı dahil olmak üzere, diğer popüler ürünlerinde yirmiyi aşkın yeni keşfedilen güvenlik açığını duyurdu.
SAP'nin Salı günü yaptığı açıklamaya göre, 10 üzerinden 10 tam puan alan en ciddi güvenlik açığı, birçok kurumsal uygulamanın teknik altyapısını oluşturan NetWeaver platformunda tespit edildi. CVE-2025-42944 olarak izlenen bu açık, kimliği doğrulanmamış saldırganların açık bir porta zararlı veri göndererek komut çalıştırmasına imkan tanıyor.
Bu en yüksek seviyedeki tehdit, deserialization (veri dönüştürme tersi) açığından kaynaklanıyor. Serialization, veri yapılarını ve nesne durumlarını depolanabilir veya iletilebilir formatlara dönüştürme işlemidir; deserialization ise bu işlemin tersidir. Bu süreçteki bir hata, kötü niyetli kodların sisteme sızmasına yol açabilir.
SAP ayrıca Salı günkü bildiriminde, 9.9, 9.6 ve 9.1 gibi yüksek puanlara sahip üç kritik NetWeaver güvenlik açığını daha ortaya çıkardı.
Bu yeni keşfedilen güvenlik açıklarının duyurulması, güvenlik firması SecurityBridge'in, geçen ay SAP tarafından yamalanan ve aktif olarak sömürüldüğü bildirilen başka bir kritik güvenlik açığını rapor etmesinden beş gün sonra geldi. CVE-2025-42957 olarak bilinen ve 9.9 puan alan bu açık, büyük organizasyonların finans, muhasebe ve insan kaynakları gibi karmaşık iş süreçlerini yönetmek üzere geliştirilen bir ERP yazılım paketi olan SAP S/4HANA'da bulunuyor.
SecurityBridge, CVE-2025-42957'nin, minimal sistem haklarına sahip bilgisayar korsanlarının, "dolandırıcılık, veri hırsızlığı, casusluk veya fidye yazılımı yüklenmesiyle sonuçlanabilecek, az çaba gerektiren tam bir sistem ele geçirme" gerçekleştirmesine izin verdiğini belirtti.
Güvenlik firması ayrıca şu uyarıyı yapmıştı: "Bu açık, yetkisiz erişime izin vererek SAP sistemlerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atan bir arka kapı görevi görüyor. Acil önlem alınmadığı takdirde SAP S/4HANA sisteminiz ciddi şekilde tehlikeye girebilir." SAP'nin bu konudaki gönderisinde aktif sömürüye dair bir bilgi yer almıyordu.
SAP'nin Salı günü raporladığı diğer güvenlik açıkları arasında SAP Business One, SAP Landscape Transformation Replication Server, SAP Commerce Cloud, SAP Datahub, SAP Business Planning and Consolidation, SAP HCM, SAP BusinessObjects Business Intelligence Platform, SAP Supplier Relationship Management ve Fiori gibi çeşitli ürünler yer alıyor. Bu açıkların ciddiyet puanları 3.1 ile 8.8 arasında değişiyor.
Bu haberde belirtilen tüm güvenlik açıklarının, özellikle yüksek ciddiyet derecesine sahip olanların, en kısa sürede yamalanması gerekmektedir. SAP, güvenlik sayfasında daha fazla bilgi sunmaktadır.
