SAP は、SQL Anywhere Monitor の非 GUI バリアントにおける最大重大度の欠陥と、Solution Manager プラットフォームにおける重大なコードインジェクションの問題を含む、複数のセキュリティ脆弱性に対処した 11 月のセキュリティアップデートをリリースした。
SQL Anywhere Monitor のセキュリティ問題は、CVE-2025-42890 として追跡されており、ハードコードされた認証情報で構成されています。リスクが高いため、この脆弱性は最大深刻度スコア10.0を受けました。
「SQL Anywhere Monitor (Non-GUI) は、コードに認証情報を焼き付け、意図しないユーザーにリソースまたは機能を公開し、攻撃者に任意のコード実行の可能性を提供します。
使用方法によっては、認証情報を入手した攻撃者は、その認証情報を使用して管理機能にアクセスすることができます。
SQL Anywhere Monitorは、SQL Anywhereスイートの一部であるデータベース監視および警告ツールで、通常、分散またはリモート・データベースを管理する組織で使用されます。
非GUIのモニター・コンポーネントは、通常、無人アプライアンス上に配置され、人による頻繁な監視なしに実行されます。
CVE-2025-42887として特定された2つ目の重大な脆弱性は、深刻度スコアが9.9で、アプリケーション・ライフサイクル管理のためのプラットフォームであるSAP Solution Managerに影響します。
「入力サニテーションの欠落により、SAP Solution Managerは、認証された攻撃者がリモートで有効な関数モジュールを呼び出す際に悪意のあるコードを挿入することを可能にします。
「これにより、攻撃者はシステムを完全に制御できるようになり、システムの機密性、完全性、可用性に大きな影響を与える可能性があります。
SAP Solution Managerは、SAP環境の集中管理・監視プラットフォームであり、ERP、CRM、アナリティクス・ソリューションを含む複雑なネットワークを運用する大企業で一般的に使用されている。
2025年11月のセキュリティ更新パックの中で、SAPは1つの重大度の高い欠陥(CVE-2025-42940)と14の中程度の脆弱性の修正もリリースした。
また、ドイツのソフトウェア大手は、先月最初に対処されたNetWeaverの重大な欠陥であるCVE-2025-42944の更新プログラムをリリースした。
大企業に広く導入され、ミッション・クリティカルなデータを託されているSAP製品は、高価値のアクセスを狙う脅威行為者の頻繁な標的となっている。
今年初め、SecurityBridgeの研究者は、SAP S/4HANA、Business One、NetWeaverシステムに影響を及ぼす、CVE-2025-42957として追跡されている重大なコードインジェクション脆弱性のアクティブな悪用を報告しました。
SAPが本日修正した2つの重大な欠陥については、アクティブな悪用は検出されていませんが、システム管理者は、利用可能なアップデートをできるだけ早く適用し、CVE-2025-42890およびCVE-2025-42887(アカウント所有者のみがアクセス可能)に対するベンダーの緩和勧告に従うことをお勧めします。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
秘密 セキュリティ・チートシート:スプロールからコントロールへ
古いキーのクリーンアップでも、AIが生成するコードのガードレールの設定でも、このガイドはチームが最初からセキュアに構築するのに役立ちます。
チートシートを入手して、秘密管理の手間を省きましょう。
Comments