
SAP S/4HANA’da, düşük yetkili bir kullanıcı ile tüm sistemi ele geçirmeye imkan tanıyan kritik bir güvenlik açığı (CVE-2025-42957, CVSS: 9.9) keşfedildi ve aktif olarak istismar ediliyor. Açık, RFC üzerinden rastgele ABAP kodu çalıştırılmasına ve yetki kontrollerinin atlanmasına izin veriyor.
Saldırganlar bu zafiyeti kullanarak veritabanını değiştirebilir, süper kullanıcı hesapları oluşturabilir, şifre özetlerini indirebilir veya iş süreçlerini manipüle edebilir. Özellikle finans ve üretim sistemlerinde ciddi risk oluşturuyor.
Uzmanlar, SAP’in Ağustos 2025 güncellemelerinin derhal uygulanmasını, şüpheli RFC çağrılarının izlenmesini, yeni admin hesaplarının kontrolünü ve sistem segmentasyonunun güçlendirilmesini öneriyor.
Sonuç olarak bu açık, düşük yetkili kullanıcıların dahi tüm SAP S/4HANA sistemlerini tehlikeye atabileceğini ortaya koyuyor. Kritik iş süreçlerini korumak için güncellemelerin uygulanması ve yetki kontrollerinin sıkılaştırılması artık kaçınılmaz bir zorunluluk.





