出典: Security NEXT – https://www.security-next.com/177089
SAP、月例セキュリティアドバイザリ20件を公開 – 複数のクリティカル脆弱性を含む
2025年11月11日、SAPは月例のセキュリティアドバイザリを公開しました。今回のアップデートでは、合計20件の脆弱性情報が提供され、そのうち複数が最も深刻な「クリティカル」評価を受けています。
主要なポイント
- 公開された脆弱性は20件:うち18件が新規で、SAP製品の幅広い範囲に影響を及ぼしています。
- クリティカル評価の脆弱性が2件:最も深刻な4段階評価のうち最高の「クリティカル」とされています。
- 代表的な脆弱性:「SQL Anywhere Monitor」のキーやシークレット管理の不備(CVE-2025-42890)と、「SAP Solution Manager」のコードインジェクション脆弱性(CVE-2025-42887)が含まれます。
- CVSSv3.1スコア:CVE-2025-42890は最高スコアの10.0、CVE-2025-42887は9.9と非常に高い評価です。
- タイミング:米国の「パッチチューズデー」に合わせての公開で、多くの企業が同時にセキュリティ対策を進める時期です。
技術的な詳細や背景情報
今回の脆弱性のうち、特に注目されるのは「SQL Anywhere Monitor」におけるキーやシークレットの管理不備(CVE-2025-42890)です。これは、認証情報や暗号鍵が適切に保護されていないことを意味し、悪意のある第三者による不正アクセスや情報漏洩のリスクが高まります。
また、「SAP Solution Manager」のコードインジェクション脆弱性(CVE-2025-42887)は、攻撃者が悪意のあるコードをシステムに注入し、任意の操作を実行できる可能性があるため、非常に危険です。
これらの脆弱性は、共通脆弱性評価システム(CVSSv3.1)に基づき、10段階評価で9.9以上のスコアを獲得しており、即時の対応が推奨されます。
影響や重要性
SAPは多くの企業で基幹業務や重要なシステムの運用に利用されているため、これらの脆弱性は企業の情報セキュリティに重大な影響を及ぼします。特にクリティカルな脆弱性は、攻撃者によるシステムの乗っ取りやデータ漏洩、業務停止といった深刻な被害につながる恐れがあります。
そのため、SAPユーザーは速やかに提供されたパッチやアップデートを適用し、リスクを低減させることが重要です。また、定期的な脆弱性情報の確認とセキュリティ対策の強化が求められます。
まとめ
2025年11月のSAP月例セキュリティアドバイザリでは、20件の脆弱性が公開され、その中には最高評価のクリティカル脆弱性も含まれています。特に「SQL Anywhere Monitor」と「SAP Solution Manager」に関する脆弱性は、企業のセキュリティリスクを大きく高めるため、迅速な対応が必要です。SAPユーザーは今回の情報を踏まえ、速やかなアップデート適用と継続的なセキュリティ対策を実施しましょう。
