CVE-2025-42957: SAP Uzaktan Kod Yürütme Zafiyeti

CVE-2025-42957: SAP Uzaktan Kod Yürütme Zafiyeti

1. Özet

SAP Cybersecurity CVE-2025-42957, SAP S/4HANA'da kritik bir uzaktan kod yürütme (RCE) zafiyetini tanımlamaktadır. Bu zafiyet, /SLOAE/DEPLOY fonksiyon modülü aracılığıyla ABAP kodu enjeksiyonuna izin vermektedir. CVSS skoru 9.9 (Kritik) olarak değerlendirilmiştir ve düşük yetkilere sahip bir kullanıcı tarafından istismar edilebilir. Tüm SAP S/4HANA sürümleri, hem Özel Bulut Sürümü hem de Yerel Kurulum etkilenmektedir. SAP, bu zafiyeti Ağustos 2025 Yama Salı güncellemesi ile düzeltmiştir.

2. Detaylar

Uzak çağrılabilir fonksiyon modülü /SLOAE/DEPLOY, kullanıcıdan gelen parametreleri yürütmeden önce doğru bir şekilde doğrulayamamaktadır. Bu durum, yeni ABAP kodu/programlarının yetkilendirme kontrolleri olmadan enjekte edilmesine olanak tanımaktadır. Düşük yetkilere sahip bir kullanıcı, yeni veya mevcut ABAP programlarına herhangi bir ABAP ifadesi enjekte edebilir, SAP uygulama sunucusunda işletim sistemi kodu çalıştırabilir ve SAP_ALL yetkilerine sahip yeni kullanıcılar oluşturabilir. Zafiyetin istismarı, saldırganlara SAP sisteminin tam kontrolünü sağlamakta ve kritik iş süreçlerini etkileyebilmektedir.

3. Sonuç/Öneriler

CVE-2025-42957, ABAP enjeksiyon zafiyetlerinin SAP ortamları için önemli bir tehdit olduğunu vurgulamaktadır. Zafiyetin kritikliği ve istismarının basitliği göz önüne alındığında, yamaların uygulanması zorunludur. SAP uzmanlarının, Ağustos 2025 yamalarını derhal uygulamaları gerekmektedir. Bu zafiyetin etkileri, veri hırsızlığı, dolandırıcılık ve fidye yazılımı dağıtımı gibi ciddi sonuçlar doğurabilir.

---

Kaynak: Orijinal Makale