SAP remediază o vulnerabilitate din SQL Anywhere Monitor
Sursă: https://www.bleepingcomputer.com
SAP a lansat actualizările de securitate din Noiembrie care remediază multiple vulnerabilități, inclusiv o vulnerabilitate cu grad de severitate maxim în varianta non-GUI a SQL Anywhere Monitor și o eroare critică de injectare de cod în platforma Solution Manager.
Vulnerabilitatea din SQL Anywhere Monitor este identificată ca CVE-2025-42890 și constă în credențiale hardcodate. Datoită gradului ridicat de severitate, aceasta a primit un scor CvSS de 10/10.
SQL Anywhere Monitor (Non-GUI) a încorporat datele de autentificare în cod, expunând resursele sau funcționalitatea utilizatorilor și oferind atacatorilor posibilitatea de a executa cod arbitrar.
În funcție de modul în care sunt utilizate, un atacator care obține datele de autentificare le poate folosi pentru a accesa funcții administrative.
SQL Anywhere Monitor este un instrument de monitorizare și alertă a bazelor de date, parte a suitei SQL Anywhere, utilizat de obicei de organizațiile care gestionează baze de date distribuite sau la distanță.
Componenta de monitorizare non-GUI este de obicei implementată pe dispozitive autonome, unde funcționează fără supraveghere umană frecventă.
A doua vulnerabilitate critică, identificată ca CVE-2025-42887, are un scor CvSS de 9.9/10 și afectează SAP Solution Manager, o platformă pentru gestionarea duratei de viață al aplicațiilor.
Din cauza lipsei de verificare a datelor introduse, SAP Solution Manager permite unui atacator autentificat să insereze coduri malitioase atunci când apelează un modul funcțional activat de la distanță.
În contextul pachetului de actualizări de securitate din noiembrie 2025, SAP a lansat, de asemenea, remedieri pentru o vulnerabilitate cu grad de severitate high (CVE-2025-42940) și alte 14 vulnerabilități cu severitate medie.
De asemenea, compania a lansat actualizări pentru CVE-2025-42944, o vulnerabilitate critică în NetWeaver care a fost inițial remediată luna trecută.
Nu s-a detectat exploatarea activă a celor două vulnerabilități critice remediate de SAP, dar administratorii de sistem sunt sfătuiți să aplice actualizările disponibile cât mai curând posibil și să urmeze recomandările furnizorului pentru atenuarea vulnerabilităților CVE-2025-42890 și CVE-2025-42887 (accesibile numai titularilor de conturi).
Sursă: https://www.bleepingcomputer.com/news/security/sap-fixes-hardcoded-credentials-flaw-in-sql-anywhere-monitor/
