CRITICAL✓ PATCH🇬🇧 English

CVE-2025-42890

SQL Anywhere Monitor – zakodowane na stałe dane uwierzytelniające (RCE)

CVSS 10.0v3.1pub. 2025-11-11upd. 2026-04-15

SQL Anywhere Monitor (wersja bez GUI) zawiera dane uwierzytelniające zakodowane bezpośrednio w kodzie aplikacji (CWE-798), co umożliwia nieautoryzowany dostęp do zasobów systemu. Podatność uzyskała maksymalną ocenę CVSS 10.0, a jej wykorzystanie może prowadzić do wykonania dowolnego kodu (RCE).

Pokaż oryginał (EN)

SQL Anywhere Monitor (Non-GUI) baked credentials into the code,exposing the resources or functionality to unintended users and providing attackers with the possibility of arbitrary code execution.This could cause high impact on confidentiality integrity and availability of the system.

🤖 Analiza AI
Jak działa

Dane uwierzytelniające (np. hasła lub klucze dostępu) zostały na stałe wbudowane w kod aplikacji SQL Anywhere Monitor (Non-GUI), zamiast być przechowywane w bezpieczny, konfigurowalny sposób. Atakujący, który uzyska dostęp do tych danych — np. poprzez analizę plików binarnych lub kodu źródłowego — może uwierzytelnić się do chronionych zasobów lub funkcji systemu bez wiedzy administratora. W konsekwencji możliwe jest wykonanie dowolnego kodu na podatnym systemie.

Skutki

Atakujący może uzyskać pełny, nieautoryzowany dostęp do zasobów i funkcji systemu, co skutkuje wysokim wpływem na poufność, integralność i dostępność — łącznie z możliwością wykonania dowolnego kodu (RCE) na podatnej instancji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — nota SAP nr 3666261 (https://me.sap.com/notes/3666261) oraz oficjalna strona SAP Security Patch Day (https://url.sap/sapsecuritypatchday). Zaleca się priorytetowe wdrożenie aktualizacji ze względu na krytyczny poziom podatności.

Kogo dotyczy

SAP SQL Anywhere Monitor (wersja bez GUI — Non-GUI); szczegółowe informacje o wersjach dostępne w nocie SAP nr 3666261 oraz na stronie SAP Security Patch Day.

Uwagi

Podatność opublikowana 11 listopada 2025 r. w ramach SAP Security Patch Day. Wektor ataku sieciowy bez wymaganych uprawnień i interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) przy pełnym wpływie na poufność, integralność i dostępność skutkuje maksymalnym wynikiem CVSS 10.0.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje