SAP가 심각한 보안 문제를 해결합니다: 안전을 유지하는 방법은 다음과 같습니다.
- SAP Solution Manager의 CVE-2025-42887로 인해 인증되지 않은 코드 삽입 및 전체 시스템 인수가 허용됩니다.
- 9.9/10의 취약점; 2025년 11월 SAP 업데이트에 출시된 패치
- SAP는 또한 SQL Anywhere Monitor의 10/10 결함인 CVE-2024-42890을 수정했습니다.
수만 개의 사용자 조직이 있는 ALM(애플리케이션 수명주기 관리) 플랫폼인 SAP 솔루션 매니저에는 위협 행위자가 손상된 엔드포인트를 완전히 장악할 수 있는 심각한 심각도 취약점이 있다고 전문가들이 경고했습니다.
결함을 발견한 뒤 SAP에 통보한 SecurityBridge 보안 연구원들은 이를 인증되지 않은 위협 행위자가 원격으로 활성화된 함수 모듈을 호출할 때 악성 코드를 삽입할 수 있는 ‘입력 삭제 취약점’이라고 설명했습니다.
NVD(National Vulnerability Database)는 “이것은 공격자에게 시스템에 대한 완전한 제어권을 제공하여 시스템 기밀성, 무결성 및 가용성에 큰 영향을 미칠 수 있습니다”라고 설명했습니다.
SAP에서 버그 수정 10/10
이제 이 버그는 CVE-2025-42887로 추적되며 심각도 점수는 9.9/10(긴급)입니다.
이제 패치가 공개적으로 제공됩니다. 이전에 SAP 사용자에게 알림을 보냈음에도 불구하고 연구원들은 앞으로 위험이 증가할 뿐이므로 모든 사람에게 가능한 한 빨리 패치를 적용할 것을 다시 한 번 촉구하고 있습니다.
SecurityBridge는 발표에서 “이 취약점에 대한 공개 패치가 오늘 출시되었습니다. 이를 통해 리버스 엔지니어링 및 익스플로잇 개발을 가속화할 수 있으므로 조기 패치를 권장합니다.”라고 밝혔습니다.
SecurityBridge의 보안 연구 책임자인 Joris van de Vis는 “우선순위 점수가 10점 만점에 9.9점인 취약점을 발견하면 공격자에게 완전한 시스템 제어 권한을 부여할 수 있는 위협이 있다는 것을 알게 됩니다.”라고 말했습니다.
“CVE-2025-42887은 권한이 낮은 사용자가 코드를 삽입할 수 있도록 허용하여 SAP 및 SAP 시스템에 포함된 모든 데이터를 완전히 손상시키기 때문에 특히 위험합니다. SAP Solution Manager의 이 코드 삽입 취약점은 우리 위협 연구소가 SAP 시스템에서 식별하고 제거하기 위해 끊임없이 노력하고 있는 중요한 공격 표면 약점의 유형을 정확하게 나타냅니다. 이와 같은 취약점은 사전 보안 연구는 협상할 수 없다는 점을 상기시켜 줍니다.”
이 취약점은 SAP의 11월 패치일의 일부로 수정되었습니다. 이 패치는 18개의 새로운 버그를 해결하고 이전에 관찰된 2개의 버그에 대한 업데이트를 포함하는 누적 업데이트입니다. 위 내용 외에도 SAP는 SQL Anywhere 모니터의 비 GUI 변형에서 10/10 버그를 수정했습니다. 이 버그는 CVE-2024-42890으로 추적되며 하드 코딩된 자격 증명의 또 다른 사례입니다.
설명에는 “SQL Anywhere Monitor(비 GUI)가 코드에 포함된 자격 증명으로 인해 의도하지 않은 사용자에게 리소스나 기능이 노출되고 공격자가 임의 코드를 실행할 수 있는 능력이 제공됩니다.”라고 설명되어 있습니다. SQL Anywhere 모니터는 데이터베이스 모니터링 및 경고 도구이며 SQL Anywhere 제품군의 일부입니다.
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도