SAP 發布了 11 月的安全性更新，解決了多個安全漏洞，包括針對一個高風險漏洞 (CVE-2025-42940) 和 14 個其他中度危險漏洞的修復。SAP 也發布了針對 CVE-2025-42944 的更新，這是 NetWeaver 中的一個嚴重漏洞，該漏洞最初於上個月得到解決。其中一個漏洞是 SQL Anywhere Monitor 非 GUI 版本中的最高嚴重性缺陷和 Solution Manager 平台中的嚴重程式碼注入問題。SQL Anywhere Monitor 中的安全問題編號為 CVE-2025-42890，涉及硬編碼憑證，此漏洞的嚴重性評分為最高分 10.0。SQL Anywhere Monitor 是一款資料庫監控和警報工具，是 SQL Anywhere 套件的一部分，通常用於管理分散式或遠端資料庫的組織。另一個嚴重漏洞，編號為 CVE-2025-42887，嚴重性評分為 9.9，會影響 SAP Solution Manager。由於缺少輸入清理，SAP Solution Manager 允許經過驗證的攻擊者在呼叫啟用遠端功能的函數模組時插入惡意程式碼，這可能使攻擊者完全控制系統，從而對系統的機密性、完整性和可用性造成嚴重影響。目前尚未發現 SAP 今天修復的兩個嚴重漏洞已被利用，但建議系統管理員盡快應用可用更新，並遵循供應商針對 CVE-2025-42890 和 CVE-2025-42887 的緩解建議（僅限帳戶持有人存取）。

SAP 的 11 月安全補丁日（Patch Day）更新再次凸顯了企業軟體複雜性所帶來的潛在安全風險。特別是針對 SQL Anywhere Monitor 的硬編碼憑證漏洞 (CVE-2025-42890)，其 CVSS 嚴重性評分達到滿分 10.0，這意味著它極易被利用，且一旦成功，將對系統造成災難性的影響。硬編碼憑證通常存在於軟體的程式碼中，駭客一旦發現，便可繞過正常的身份驗證機制，直接取得高權限存取。對於像 SQL Anywhere Monitor 這種用於管理分散式或遠端資料庫的工具而言，這種漏洞的存在無疑是一項重大威脅，可能導致敏感資料外洩、資料庫被篡改，甚至整個企業網路遭到入侵。

而影響 SAP Solution Manager 的程式碼注入漏洞 (CVE-2025-42887)，其嚴重性評分也高達 9.9。SAP Solution Manager 是許多企業用於管理其 SAP 環境的核心平台，涉及系統監控、解決方案實施、變更管理等關鍵功能。當缺少輸入清理時，經過驗證的攻擊者可以在遠端函數調用中注入惡意程式碼，這等於為攻擊者打開了後門，讓他們能夠完全控制整個 SAP 系統。這不僅會危及系統的機密性（資料洩露），還可能破壞完整性（資料篡改）和可用性（服務中斷）。

儘管目前尚未發現這些嚴重漏洞被積極利用的報告，但這並不代表企業可以掉以輕心。過去的經驗表明，一旦漏洞細節被公開，惡意行為者便會迅速開發和部署攻擊工具。因此，SAP 強烈建議所有使用相關產品的系統管理員務必立即應用這些安全更新。對於無法立即更新的企業，則應嚴格遵循 SAP 提供的緩解建議，例如限制對受影響組件的存取權限，以最大限度地降低潛在風險。這次更新再次強調了定期進行安全修補和風險管理的關鍵性，尤其對於像 SAP 這樣承載著企業核心業務的關鍵應用程式而言，任何漏洞都可能帶來無法估量的損失。企業應建立健全的漏洞管理流程，確保及時掌握並應用所有必要的安全更新，以保護其數位資產免受日益複雜的網路威脅。