شرکت SAP به روزرسانیهای امنیتی نوامبر خود را منتشر کرد که چندین آسیبپذیری امنیتی از جمله نقص بدون رابط کاربری گرافیکی با شناسه CVE-2025-42890 (امتیاز 10.0) در SQL Anywhere Monitor و تزریق کد با شناسه CVE-2025-42887 (امتیاز 9.9) در پلتفرم Solution Manager را برطرف میکند.
در توصیف این آسیبپذیری آمده است: «SQL Anywhere Monitor (غیرGUI) اعتبارنامهها را در کد جاسازی میکند و منابع یا عملکردها را در معرض کاربران غیرمجاز قرار میدهد و برای نفوذگران امکان اجرای کد دلخواه را فراهم میکند.» نسبت به نحوه استفاده، نفوذگری که اعتبارنامهها را به دست آورد میتواند از آنها برای دسترسی به توابع مدیریتی استفاده کند.
در NVD نیز درباره آسیبپذیری CVE-2025-42887 آمده است: «به دلیل عدم بررسی ورودی، SAP Solution Manager به نفوذگر احراز هویت شده اجازه میدهد هنگام فراخوانی ماژول تابع فعال از راه دور، کد مخرب را وارد کند.» در مجموع به روزرسانیهای امنیتی نوامبر 2025، این شرکت همچنین وصلههایی برای آسیبپذیری با شناسه CVE-2025-42940 (امتیاز 7.5) و 14 آسیبپذیری دیگر با شدت متوسط و همچنین به روزرسانیهایی برای شناسه CVE-2025-42944 (امتیاز 10.0) منتشر کرد.
https://www.bleepingcomputer.com/news/security/sap-fixes-hardcoded-credentials-flaw-in-sql-anywhere-monitor/
