تعمل SAP على إصلاح ثلاث نقاط ضعف خطيرة عبر منتجات متعددة

أصدرت SAP تحديثاتها الأمنية لشهر ديسمبر والتي تتناول 14 نقطة ضعف عبر مجموعة من المنتجات، بما في ذلك ثلاثة عيوب خطيرة.

الأكثر خطورة (درجة CVSS: 9.9) من بين جميع المشكلات هي”https://www.cve.org/CVERecord?id=CVE-2025-42880″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2025-42880، مشكلة في إدخال التعليمات البرمجية تؤثر على SAP Solution Manager ST 720.

“Due to missing input sanitation, SAP Solution Manager allows an authenticated attacker to insert malicious code when calling a remote-enabled function module,” يقرأ وصف الخلل.

“This could provide the attacker with full control of the system, hence leading to high impact on confidentiality, integrity, and availability of the system.”

SAP Solution Manager هو النظام الأساسي المركزي لإدارة دورة حياة البائع ومراقبته والذي تستخدمه المؤسسات لمراقبة النظام والتكوين الفني ومكتب الحوادث والخدمة ومركز التوثيق وإدارة الاختبار.

يتعلق الخلل التالي الأكثر خطورة الذي تم إصلاحه بواسطة SAP هذا الشهر بثغرات أمنية متعددة في Apache Tomcat تؤثر على مكونات SAP Commerce Cloud في الإصدارات HY_COM 2205 وCOM_CLOUD 2211 وCOM_CLOUD 2211-JDK21.

يتم تعقب العيوب في SAP Commerce Cloud تحت معرف واحد،”https://www.cve.org/CVERecord?id=CVE-2025-55754″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2025-55754، نظرًا لتصنيف خطورة CVSS البالغ 9.6.

SAP Commerce Cloud عبارة عن منصة للتجارة الإلكترونية على مستوى المؤسسات تدعم المتاجر واسعة النطاق عبر الإنترنت من خلال كتالوجات المنتجات والأسعار والعروض الترويجية والخروج وإدارة الطلبات وحسابات العملاء وتكامل ERP/CRM. يتم استخدامه بشكل عام من قبل كبار تجار التجزئة والعلامات التجارية العالمية.

الخلل الثالث الحاسم (درجة CVSS: 9.1) الذي تم إصلاحه هذا الشهر هو”https://www.cve.org/CVERecord?id=CVE-2025-42928″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2025-42928، ثغرة أمنية في إلغاء التسلسل تؤثر على SAP jConnect، والتي، في ظل ظروف معينة، يمكن أن تسمح لمستخدم ذي امتيازات عالية بتنفيذ التعليمات البرمجية عن بعد على الهدف عبر إدخال معد خصيصًا.

SAP jConnect هو برنامج تشغيل JDBC يستخدمه المطورون ومسؤولو قواعد البيانات لتوصيل تطبيقات Java بقواعد بيانات SAP ASE وSAP SQL Anywhere.

SAP”https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html” الهدف=”_blank” rel=”nofollow noopener”>ديسمبر 2025 تسرد النشرة أيضًا إصلاحات لخمسة عيوب عالية الخطورة وستة مشكلات متوسطة الخطورة، بما في ذلك تلف الذاكرة، وفقدان عمليات التحقق من المصادقة والترخيص، والبرمجة النصية عبر المواقع، والكشف عن المعلومات.

إن حلول SAP مدمجة بعمق في بيئات المؤسسات وتدير أحمال العمل الحساسة وعالية القيمة، مما يجعلها هدفًا قيمًا للمهاجمين.

وفي وقت سابق من هذا العام، قام باحثون من SecurityBridge”https://www.bleepingcomputer.com/news/security/critical-sap-s-4hana-vulnerability-now-exploited-in-attacks/” الهدف=”_blank” rel=”nofollow noopener”> تمت ملاحظة الهجمات البرية إساءة استخدام ثغرة في إدخال التعليمات البرمجية (CVE-2025-42957) تؤثر على عمليات نشر SAP S/4HANA وBusiness One وNetWeaver.

لم تضع SAP علامة على أي من العيوب الـ 14 على أنها مستغلة بشكل نشط، ولكن يجب على المسؤولين نشر الإصلاحات دون تأخير.