SAP 2025年11月の Patch Day:RCE/インジェクションなどの脆弱性に対応

SAP Security Update – Patch for Critical Vulnerabilities Allowing Code Execution and Injection Attacks

2025/11/11 CyberSecurityNews — SAP は月例の Security Patch Day を公開し、18件の新規セキュリティ・ノートと 2件のアップデートを含む修正を提供した。今回のアップデートは、SAP 製品全体に影響するリモート・コード実行やインジェクション攻撃の脆弱性に対応している。SAP システムを利用する企業にとって、これらのパッチは極めて重要である。パッチ未適用の脆弱性は、脅威アクターに機密データの漏えいや業務の中断といったリスクをさらす可能性がある。SAP がユーザーに対して強く推奨するのは、サポート・ポータルを通じた修正を優先的に適用し、潜在的な悪用から環境を保護することである。

深刻な脆弱性へのパッチ適用

最も深刻な問題の一つは、SQL Anywhere Monitor (非 GUI 版) バージョン 17.0 における CVE-2025-42890 である。これは、安全ではないキーおよびシークレットの管理に起因している。

この脆弱性は CVSS スコア 10.0 と評価されており、ネットワーク経由で機密性/整合性/可用性を侵害する機会を、未認証の攻撃者に与えるため、きわめて深刻な影響を生じる。さらに、漏洩した認証情報の悪用により、システム全体を乗っ取られる恐れもある。

同様に、SAP NetWeaver AS Java (SERVERCORE 7.50) における CVE-2025-42944 の修正においても、安全でないデシリアライズに対する防御が強化されている。こちらも CVSS スコアは 10.0 と評価されており、未認証の攻撃者により悪意のペイロード提供により、リモート・コード実行にいたる恐れがある。

セキュリティ専門家たちは、この種のデシリアライズ脆弱性の実際の悪用を指摘し、迅速なパッチ適用の重要性を強調している。

もう一つの深刻な脆弱性である SAP Solution Manager (ST 720) の CVE-2025-42887 は、低権限の認証済みユーザーであっても悪用が可能な、コード・インジェクションの欠陥であり、CVSS スコアは 9.9 と評価されている。

この脆弱性を悪用する攻撃者は、スコープを跨ぐ権限昇格と任意のコード実行により、コア・ビジネス機能を妨害する可能性がある。この問題は、インジェクション攻撃が基盤コンポーネントを標的とし、エンタープライズ環境におけるリスクを拡大させるという、SAP の脆弱性に関する広範な傾向と一致している。

今回の Security Patch Day は、Medium の深刻度に分類される複数のインジェクション関連の問題にも対処している。

  • CVE-2025-42892 (CVSS:6.8) :SAP Business Connector バージョン 4.8 に影響を及ぼす OS コマンド・インジェクションの脆弱性である。この問題により、高い権限を持つ隣接ネットワークの攻撃者が、不正なコマンドを実行する可能性がある。
  • CVE-2025-42884 (CVSS:6.5) : SAP NetWeaver Enterprise Portal (EP-BASIS 7.50) における JNDI インジェクションの脆弱性であり、不正なルックアップやデータ漏洩につながる可能性がある。
  • CVE-2025-42889 :SAP Starter Solution (PL SAFT) の複数バージョンにおける SQL インジェクションの脆弱性であり、低権限ユーザーによるデータベース・クエリ操作を許す可能性がある。

その他の深刻度 High 脆弱性としては、未認証の攻撃者がサービス拒否を引き起こす可能性のある SAP CommonCryptoLib (バージョン 8) のメモリ破損の問題 CVE-2025-42940 (CVSS:7.5) が含まれる。

深刻度 Medium の修正には、SAP HANA 2.0 や Business One などのコンポーネントにおける、パストラバーサル CVE-2025-42894/オープンリダイレクト CVE-2025-42924/リフレクション型 XSS CVE-2025-42886/認証不足 CVE-2025-42885 が含まれる。また、深刻度の Lower アップデートでは、S/4HANA および Fiori における、認証情報の欠落とキャッシュ・ポイズニングに対処している。

SAP 2025年11月 Patch Day の詳細

以下の表は、SAP の 2025年11月パッチデーで公開された 18 件の新規セキュリティ・ノートと、2 件の更新済みセキュリティ・ノートをまとめたものである。ノート番号/関連する CVE/脆弱性のタイトル/影響を受ける製品/バージョン/優先度/CVSS v3.0 スコアが記載されている。

Note#CVETitleProductVersion(s)PriorityCVSS
3666261CVE-2025-42890Insecure key & Secret Management vulnerability in SQL Anywhere Monitor (Non-Gui)SQL Anywhere Monitor (Non-Gui)SYBASE_SQL_ANYWHERE_SERVER 17.0Critical10.0​
3660659 (Update)CVE-2025-42944Security Hardening for Insecure Deserialization in SAP NetWeaver AS JavaSAP NetWeaver AS JavaSERVERCORE 7.50Critical10.0​
3668705CVE-2025-42887Code Injection vulnerability in SAP Solution ManagerSAP Solution ManagerST 720Critical9.9​
3633049CVE-2025-42940Memory Corruption vulnerability in SAP CommonCryptoLibSAP CommonCryptoLibCRYPTOLIB 8High7.5​
3643385CVE-2025-42895Code Injection vulnerability in SAP HANA JDBC ClientSAP HANA JDBC ClientHDB_CLIENT 2.0Medium6.9​
3665900CVE-2025-42892OS Command Injection vulnerability in SAP Business ConnectorSAP Business ConnectorSAP BC 4.8Medium6.8​
3666038CVE-2025-42894Path Traversal vulnerability in SAP Business ConnectorSAP Business ConnectorSAP BC 4.8Medium6.8​
3660969CVE-2025-42884JNDI Injection vulnerability in SAP NetWeaver Enterprise PortalSAP NetWeaver Enterprise PortalEP-BASIS 7.50, EP-RUNTIME 7.50Medium6.5​
3642398CVE-2025-42924Open Redirect vulnerabilities in SAP S/4HANA landscape (SAP E-Recruiting BSP)SAP S/4HANA landscape (SAP E-Recruiting BSP)S4ERECRT 100, 200, ERECRUIT 600, 603, 604, 605, 606, 616, 617, 800, 801, 802Medium6.1​
3662000CVE-2025-42893Open Redirect vulnerability in SAP Business ConnectorSAP Business ConnectorSAP BC 4.8Medium6.1​
3665907CVE-2025-42886Reflected Cross-Site Scripting (XSS) vulnerability in SAP Business ConnectorSAP Business ConnectorSAP BC 4.8Medium6.1​
3639264CVE-2025-42885Missing authentication in SAP HANA 2.0 (hdbrss)SAP HANA 2.0 (hdbrss)HDB 2.00Medium5.8​
3651097CVE-2025-42888Information Disclosure vulnerability in SAP GUI for WindowsSAP GUI for WindowsBC-FES-GUI 8.00, 8.10Medium5.5​
2886616CVE-2025-42889SQL Injection vulnerability in SAP Starter Solution (PL SAFT)SAP Starter Solution (PL SAFT)SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720, 730, S4CORE 100, 101, 102, 103, 104Medium5.4​
3643603CVE-2025-42919Information Disclosure vulnerability in SAP NetWeaver Application Server JavaSAP NetWeaver Application Server JavaENGINEAPI 7.50, EP-BASIS 7.50Medium5.3​
3652901CVE-2025-42897Information Disclosure vulnerability in SAP Business One (SLD)SAP Business One (SLD)B1_ON_HANA 10.0, SAP-M-BO 10.0Medium5.3​
3530544CVE-2025-42899Missing Authorization check in SAP S4CORE (Manage Journal Entries)SAP S4CORE (Manage Journal Entries)S4CORE 104, 105, 106, 107, 108Medium4.3​
3643337CVE-2025-42882Missing Authorization check in SAP NetWeaver Application Server for ABAPSAP NetWeaver Application Server for ABAPSAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816Medium4.3​
3426825 (Update)CVE-2025-23191Cache Poisoning through header manipulation vulnerability in SAP Fiori for SAP ERPSAP Fiori for SAP ERPSAP_GWFND 740, 750, 751, 752, 753, 754, 755, 756, 757, 758Low3.1​
3634053CVE-2025-42883Insecure File Operations vulnerability in SAP NetWeaver Application Server for ABAP (Migration Workbench)SAP NetWeaver Application Server for ABAP (Migration Workbench)SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816Low2.7​

これらの脆弱性が浮き彫りにするのは、SAP のレガシースタックおよび最新スタックにおける継続的な課題である。高度な持続的脅威 (APT) の主要な標的は、依然としてコード実行パスにある。

企業にとって必要なリスク軽減策は、本番環境への展開前に脆弱性スキャンを実施し、ネットワークをセグメント化し、ステージング環境でパッチをテストすることである。これらの欠陥に迅速に対処する組織は、ミッション・クリティカルな SAP 環境において、進化するサイバー脅威へのレジリエンスを維持できる。

今回の SAP 製品に広く影響を及ぼす脆弱性は、古い仕組みと新しい機能が混在する複雑な構造が原因となり、安全ではないキー管理/デシリアライズ処理/インジェクション対策の不足といった弱点が現れているようです。攻撃者は認証前の経路や基盤コンポーネントの隙を狙えるため、個々の製品ではなく “SAP 全体の設計上のつながり” へと問題が波及しやすいと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、SAP で検索を、ご参照ください。