SAP、3月の月例パッチを公開 - 新規アドバイザリ21件を公開

SAPは、2025年3月の月例パッチで新規に21件のセキュリティアドバイザリを公開するとともに、従来より公開していたアドバイザリ3件について更新した。

現地時間3月11日にアドバイザリを公開したもの。新規に公開したアドバイザリを見ると、重要度が4段階中もっとも高い「クリティカル（Critical）」とされるものはなく、3件については重要度が2番目に高い「高（High）」とした

具体的には、「SAP Commerce」におけるクロスサイトスクリプティング（XSS）の脆弱性「CVE-2025-27434」や、「SAP NetWeaver（ABAP Class Builder）」における認可チェックの欠如「CVE-2025-26661」、「SAP Commerce Cloud」と依存関係にある「Apache Tomcat」の複数の脆弱性「CVE-2024-38286」などへ対処している。

共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、「CVE-2025-27434」「CVE-2025-26661」をともに「8.8」と評価。「CVE-2024-38286」が「8.6」で続く。

さらに「中（Medium）」とされるアドバイザリ14件のほか、「低（Low）」とされる3件について公表している。

またこれら21件にくわえて、BTP上で実行される「Spring Bootアクチュエータエンドポイント」を保護するためのベストプラクティスに関する文書を提供している。今回のアドバイザリを通じて言及された脆弱性は、以下のとおり。

CVE-2024-38286
CVE-2024-38819
CVE-2024-38820
CVE-2024-39592
CVE-2024-41736
CVE-2024-52316
CVE-2025-0062
CVE-2025-0071
CVE-2025-23185
CVE-2025-23188
CVE-2025-23194
CVE-2025-24876
CVE-2025-25242
CVE-2025-25244
CVE-2025-25245
CVE-2025-26655
CVE-2025-26656
CVE-2025-26658
CVE-2025-26659
CVE-2025-26660
CVE-2025-26661
CVE-2025-27430
CVE-2025-27431
CVE-2025-27432
CVE-2025-27433
CVE-2025-27434
CVE-2025-27436

（Security NEXT - 2025/03/19 ） ツイート

PR

関連記事

Cisco、アドバイザリ5件を公開 - コラボアプリにDoSやRCE脆弱性
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響
「Chrome」に重要度「高」脆弱性が2件 - アップデートを公開
F5「BIG-IP」製品群に複数脆弱性 - DoSなどのおそれ
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品
Synology製NASに脆弱性 - 3rdパーティ製ツールに起因、KEV登録済み
APIクライアント生成ツール「Orval」にRCE脆弱性 - 再発で2度の修正