أصدرت شركة SAP في 12 أغسطس 2025 تحديثات أمنية حرجة عالجت 15 ثغرة في مجموعة منتجاتها البرمجية الموجهة للمؤسسات، من بينها ثلاث ثغرات حقن برمجي (Code Injection) خطيرة حصلت على أعلى درجة تقييمCVSS وهي 9.9. وشمل يوم التصحيح الشهري أيضاً أربع تحديثات لملاحظات أمنية سابقة، في إطار التزام الشركة المستمر بحماية بيئات العملاء من التهديدات المتطورة.
ثغرات الحقن البرمجي تتصدر قائمة الإصلاحات
أخطر الثغرات التي عولجت هذا الشهر هي ثلاث ثغرات حقن برمجي يمكن أن تتيح للمهاجمين تنفيذ تعليمات برمجية عشوائية بصلاحيات مرتفعة. وتشمل هذه الثغرات:
- CVE-2025-42957: تؤثر على SAP S/4HANA (درجة خطورة 9.9).
- CVE-2025-42950: تؤثر على SAP Landscape Transformation (درجة خطورة 9.9).
- CVE-2025-27429: ثغرة حقن برمجي في S/4HANA سبق إصلاحها في أبريل 2025 وتم تحديث معالجتها (درجة خطورة 9.9).
ملخص أبرز الثغرات في التصحيح الأخير
- CVE ID المنتج نوع الثغرة الأولوية درجة CVSS
- CVE-2025-42957 SAP S/4HANA Code Injection حرجة 9.9
- CVE-2025-42950 SAP Landscape Transformation Code Injection حرجة 9.9
- CVE-2025-27429 SAP S/4HANA Code Injection حرجة 9.9
- CVE-2025-42951 SAP Business One Broken Authorization عالية 8.8
- CVE-2025-42976 SAP NetWeaver AS ABAP Multiple Vulnerabilities عالية 8.1
- CVE-2025-42946 SAP S/4HANA Directory Traversal متوسطة 6.9
وتكتسب هذه الثغرات خطورتها لكونها تؤثر على منتجات أساسية من SAP منتشرة على نطاق واسع في بيئات المؤسسات، وتتيح هجمات عبر الشبكة بقدرة استغلال منخفضة التعقيد، ولا تتطلب سوى صلاحيات محدودة ومن دون تفاعل المستخدم، ما يجعلها أهدافاً جذابة للمهاجمين الساعين لاختراق أنظمة SAP.
نطاق واسع من الإصلاحات
شملت دورة التصحيح لشهر أغسطس معالجة ثغرات متعددة في منتجات SAP وبمستويات خطورة متفاوتة، منها:
- ثغرات XSS في NetWeaver Application Server.
- ثغرات تجاوز صلاحيات.
- ثغرات كشف معلومات.
كما تضمنت التصحيحات إصلاحات لـSAP GUI على نظام Windows وSAP Cloud Connector، ما يعكس شمولية جهود الشركة في الصيانة الأمنية. وتم إصلاح عدة ثغرات XSS بدرجة CVSS بلغت 6.1، والتي تتطلب تفاعلاً من المستخدم لكنها قد تُستخدم في هجمات تصيّد أو سرقة بيانات.
توصيات عاجلة
حثّت SAP العملاء على الدخول فوراً إلى بوابة الدعم وتطبيق التصحيحات على وجه الأولوية، مع التركيز على الثغرات الثلاث الحرجة في الحقن البرمجي، وخاصة في الأنظمة المواجهة للإنترنت أو التي تعالج بيانات حساسة. كما نشرت الشركة إرشادات شاملة لتكوين الإعدادات الأمنية بما يضمن الحفاظ على وضع أمني قوي عبر محفظة منتجاتها.
