SAP Rilis Pembaruan Keamanan Desember 2025, Perbaiki 3 Kerentanan Kritis

SAP merilis buletin keamanan Desember 2025 yang menutup 14 kerentanan pada berbagai produknya, termasuk tiga flaw kritis dengan dampak tinggi terhadap sistem perusahaan.

Kerentanan Kritis yang Diperbaiki

CVE-2025-42880 – SAP Solution Manager (CVSS 9.9)

Kerentanan injeksi kode akibat kurangnya sanitasi input memungkinkan penyerang terautentikasi menyisipkan kode berbahaya melalui remote-enabled function module. Eksploitasi flaw ini dapat memberi kendali penuh atas sistem, berdampak pada kerahasiaan, integritas, dan ketersediaan. SAP Solution Manager sendiri merupakan platform manajemen siklus hidup dan pemantauan sistem yang digunakan luas oleh perusahaan untuk konfigurasi teknis, monitoring, service desk, dokumentasi, hingga manajemen pengujian.

CVE-2025-55754 – SAP Commerce Cloud (CVSS 9.6)

Kerentanan ini terkait dengan beberapa masalah Apache Tomcat yang memengaruhi komponen SAP Commerce Cloud versi HY_COM 2205, COM_CLOUD 2211, dan COM_CLOUD 2211-JDK21. SAP Commerce Cloud adalah platform e-commerce kelas enterprise yang mendukung toko daring berskala besar dengan katalog produk, harga, promosi, checkout, manajemen pesanan, akun pelanggan, serta integrasi ERP/CRM.

CVE-2025-42928 – SAP jConnect (CVSS 9.1)

Kerentanan deserialisasi pada SAP jConnect dapat memungkinkan pengguna dengan hak istimewa tinggi melakukan remote code execution melalui input yang dirancang khusus. SAP jConnect adalah driver JDBC yang digunakan untuk menghubungkan aplikasi Java dengan database SAP ASE dan SAP SQL Anywhere.

Kerentanan Lain

Selain tiga flaw kritis, SAP juga memperbaiki:

• 5 kerentanan high-severity
• 6 kerentanan medium-severity

Jenis masalah yang ditangani mencakup memory corruption, kurangnya autentikasi dan otorisasi, cross-site scripting (XSS), serta information disclosure.

Konteks dan Rekomendasi

SAP merupakan tulang punggung banyak lingkungan enterprise dengan beban kerja bernilai tinggi, sehingga menjadi target utama serangan siber. Tahun ini, peneliti SecurityBridge sempat melaporkan eksploitasi aktif terhadap flaw injeksi kode (CVE-2025-42957) yang memengaruhi SAP S/4HANA, Business One, dan NetWeaver.

Meski SAP belum menandai adanya eksploitasi aktif terhadap 14 kerentanan terbaru, administrator sistem disarankan segera menerapkan pembaruan untuk mencegah potensi serangan.