Az SAP decemberi biztonsági frissítései 14 sérülékenységet javítanak különböző termékekben, köztük három kritikus besorolásút.
A CVE-2025-42880 azonosítón nyomon követett (CVSS 9.9) kódbefecskendezési (code injection) sérülékenység az SAP Solution Manager ST 720 komponenst érinti. A sebezhetőség kihasználása teljes rendszerszintű kompromittálódást eredményezhet. Az SAP Solution Manager a vállalat központi életciklus kezelési és monitorozási platformja, amelyet rendszerfelügyeletre, technikai konfigurációra, incidenskezelésre, szolgáltatásmenedzsmentre, dokumentációs feladatokra és tesztmenedzsmentre használnak.
A CVE-2025-55754 azonosítón nyomon követett sebezhetőség (CVSS: 9.6) több Apache Tomcat hibából ered, és az SAP Commerce Cloud különböző komponenseit érinti a HY_COM 2205, COM_CLOUD 2211 és COM_CLOUD 2211-JDK21 verziókban. Az SAP Commerce Cloud egy vállalati szintű e-kereskedelmi platform, amely nagy forgalmú webáruházakat szolgál ki termékkatalógus-kezeléssel, árazással, promóciókkal, fizetési folyamattal, rendeléskezeléssel, ügyfélfiókokkal, valamint ERP/CRM integrációval.
A CVE-2025-42928 azonosítón nyomon követett deszerializációs sebezhetőség (CVSS: 9.1), az SAP jConnect komponenst érinti. Bizonyos körülmények között lehetővé teheti, hogy egy magas jogosultsági szinttel rendelkező felhasználó speciálisan kialakított bemenetek segítségével távoli kódfuttatást érjen el a célrendszeren. Az SAP jConnect egy JDBC-meghajtó, amelyet fejlesztők és adatbázis-adminisztrátorok használnak Java alkalmazások SAP ASE és SAP SQL Anywhere adatbázisokhoz történő csatlakoztatására.
Korábban a SecurityBridge kiberbiztonsági kutatói megfigyelték a CVE-2025-42957 azonosítón nyomon követett code injection sérülékenység aktív kihasználását, amely az SAP S/4HANA, Business One és NetWeaver telepítéseket érintette.
Bár az SAP eddig (a 14 sérülékenység közül) egyiket sem jelölte aktívan kihasználtnak, a frissítések telepítése haladéktalanul javasolt a rendszerek védelme érdekében.