SAP修補SQL Anywhere Monitor與Solution Manager近滿分漏洞

11月11日SAP發布本月例行更新（Security Patch Day），發布18份資安公告，更新兩份已發布的公告內容，最受到矚目的部分，是兩項CVSS評分接近滿分的資安漏洞，分別是：CVE-2025-42890與CVE-2025-42887。

根據CVSS風險評分，最危險的是風險值達到10分的CVE-2025-42890，此漏洞出現在名為SQL Anywhere Monitor的系統，是屬於安全性不足的金鑰及機密管理而造成的漏洞，起因是此應用程式將憑證嵌入程式碼，導致特定資源或功能曝露，攻擊者有機會藉此執行任何程式碼，使得相關系統的機密性、完整性，以及可用性面臨高風險。長期關注SAP每月例行更新的資安業者Onapsis指出，一旦IT人員套用修補程式，將會完全移除SQL Anywhere Monitor，假如無法及時套用修補程式，應停止使用此系統，並且刪除所有SQL Anywhere Monitor資料庫的實體。

另一項相當危險的重大漏洞CVE-2025-42887，影響SAP Solution Manager，為程式碼注入型態的弱點，CVSS風險值為9.9，問題出在對於置入的程式碼缺乏過濾與管控，通過身分驗證的攻擊者在呼叫能遠端啟用的功能模組過程裡，插入惡意程式碼，進而對系統完全控制，對於機密性、完整性，以及可用性造成重大影響。Onapsis也透露SAP對此漏洞的處理方法，是增加輸入檢查機制，大量排除非英數的字元因應。

本次SAP也對於10月發布的3660659號公告更新，此為針對SAP NetWeaver AS Java滿分漏洞CVE-2025-42944提出強化措施，究竟更新內容為何，非SAP用戶無從得知，Onapsis透露是封鎖易受攻擊的JDK與第三方類別（class），來防範不安全的反序列化弱點被觸發。