SAPは日本時間2025年11月11日の「Security Patch Day」で新規18件・更新2件、計20件のセキュリティノートを公開しました。最重要は、SQL Anywhere Monitor(Non-GUI)のハードコード資格情報(CVE-2025-42890、CVSS 10.0)と、SAP Solution Managerのコードインジェクション(CVE-2025-42887、CVSS 9.9)です。SAPはサポートポータルから該当パッチを優先適用するよう強く推奨しています。
重要度「クリティカル」
-
CVE-2025-42890(ノート#3666261)|CVSS 10.0|SQL Anywhere Monitor(Non-GUI)
-
監視コンポーネントにハードコードされた認証情報が存在。攻撃者が資格情報を得た場合、想定外のアクセスや任意コード実行の可能性が生じます(非GUIモニターは無人運用環境に置かれることが多く、監視の目が届きにくい点もリスク)。
-
-
CVE-2025-42887(ノート#3668705)|CVSS 9.9|SAP Solution Manager(ST 720)
-
入力検証不備により、認証済みの攻撃者がリモート有効関数モジュール呼び出し時に悪意あるコードを挿入できる欠陥。機密性・完全性・可用性に高影響が及ぶ恐れ。
-
-
CVE-2025-42944(ノート#3660659)|CVSS 10.0|SAP NetWeaver AS Java(更新)
-
10月パッチデーで公開済みの不安全なデシリアライズに対するハードニングノートを更新。
-
高重要度
-
CVE-2025-42940(ノート#3633049)|CVSS 7.5|SAP CommonCryptoLib 8
-
メモリ破損の脆弱性を修正。
-
中〜低重要度(抜粋)
-
HANA / クライアント関連
-
CVE-2025-42895(HANA JDBC Client|コードインジェクション|CVSS 6.9)
-
CVE-2025-42885(HANA 2.0 hdbrss|認証欠如|CVSS 5.8)
-
-
Business Connector(4.8)
-
CVE-2025-42892(OSコマンドインジェクション|CVSS 6.8)
-
CVE-2025-42894(パストラバーサル|CVSS 6.8)
-
CVE-2025-42893(オープンリダイレクト|CVSS 6.1)
-
CVE-2025-42886(反射型XSS|CVSS 6.1)
-
-
NetWeaver / Portal / ABAP
-
CVE-2025-42884(EPのJNDIインジェクション|CVSS 6.5)
-
CVE-2025-42919(AS Javaの情報漏えい|CVSS 5.3)
-
CVE-2025-42882(AS ABAPの認可チェック欠落|CVSS 4.3)
-
CVE-2025-42883(ABAP Migration Workbenchの不適切なファイル操作|CVSS 2.7)
-
-
S/4HANA / ERP系
-
CVE-2025-42924(E-Recruiting BSPのオープンリダイレクト|CVSS 6.1)
-
CVE-2025-42899(S4CORE「仕訳伝票の管理」認可チェック欠落|CVSS 4.3)
-
CVE-2025-42889(Starter Solution(PL SAFT)のSQLインジェクション|CVSS 5.4)
-
-
その他
-
CVE-2025-42888(SAP GUI for Windows の情報漏えい|CVSS 5.5)
-
CVE-2025-23191(SAP Fiori for SAP ERP のヘッダー改ざんによるキャッシュ汚染|2月ノート更新|CVSS 3.1)
-
影響と対応のポイント
-
影響範囲:データベース監視、アプリケーション・ライフサイクル管理、暗号ライブラリ、HANAクライアント、Business Connector、NetWeaver(Java/ABAP)、S/4HANA/E-Recruiting、GUI for Windows など幅広い製品線に及びます。
-
優先度の目安:まずはCVE-2025-42890(SQL Anywhere Monitor)とCVE-2025-42887(Solution Manager)の適用を最優先。その後、CommonCryptoLib(CVE-2025-42940)やBusiness Connector一連、HANA/NetWeaver系を順次反映するのが現実的です。
-
ベンダー情報:各ノートの適用条件や回避策はSAPサポートポータルのセキュリティノートで提供されています(アカウント要)。公開情報上、今回の2件のクリティカルについて実害の公表は現時点で確認されていませんが、SAP製品は基幹データを扱うため速やかなパッチ適用が推奨されます。
-200x200.png)





が悪用、CISAがKEVデータベースに追加-200x200.png)
