Desember ini kayaknya bukan cuma waktu buat siap-siap liburan akhir tahun, tapi juga momen krusial buat kalian para admin sistem mengecek keamanan infrastruktur. SAP baru saja merilis pembaruan keamanan bulanan mereka, dan ngelihat dari daftar yang ada, ini bukan update yang bisa ditunda sambil lalu. Ada total 14 kerentanan yang ditambal, di mana tiga di antaranya berstatus kritis. Kalau sampai lolos, sistem bisa kena serang, dampaknya bisa bikin pusing satu departemen IT.
Mari kita bedah apa saja yang terjadi di balik layar pembaruan kali ini. Isu yang paling menyita perhatian kami adalah CVE-2025-42880. Ini bukan sekadar bug biasa, tapi masalah injeksi kode pada SAP Solution Manager ST 720 dengan skor CVSS mencapai 9.9 dari 10. Bayangannya begini, karena kurangnya sanitasi input, penyerang yang sudah terautentikasi bisa menyisipkan kode berbahaya saat memanggil modul fungsi yang diaktifkan secara remote (remote-enabled function module).
Deskripsi celah ini cukup bikin merinding karena secara eksplisit menyebutkan bahwa hal ini bisa memberikan penyerang kendali penuh atas sistem. Bagi kalian yang menggunakan SAP Solution Manager sebagai pusat manajemen siklus hidup dan monitoring—mulai dari konfigurasi teknis, incident desk, sampai manajemen tes—ini adalah mimpi buruk. Integritas, kerahasiaan, dan ketersediaan sistem benar-benar dipertaruhkan di sini. Rasanya tidak berlebihan kalau kami bilang ini prioritas nomor satu untuk segera diperbaiki.
Selain “raja” dari segala bug di bulan ini, ada dua masalah kritis lainnya yang perlu kalian waspadai:
1. Masalah Apache Tomcat di SAP Commerce Cloud (CVE-2025-55754)
Celah ini memiliki skor CVSS 9.6. Masalahnya terletak pada beberapa kerentanan Apache Tomcat yang berdampak pada komponen SAP Commerce Cloud di versi HY_COM 2205, COM_CLOUD 2211, dan varian JDK21-nya. Platform ini adalah tulang punggung bagi banyak enterprise ritel besar untuk mengelola katalog produk, harga, hingga integrasi ERP/CRM. Sepertinya kalau ini dieksploitasi, dampaknya langsung ke operasional bisnis inti.
2. Deserialization pada SAP jConnect (CVE-2025-42928)
Dengan skor CVSS 9.1, kerentanan ini menyerang driver JDBC yang biasa dipakai developer dan admin database untuk menghubungkan aplikasi Java ke database SAP ASE dan SQL Anywhere. Dalam kondisi tertentu, pengguna dengan hak akses tinggi bisa melakukan eksekusi kode jarak jauh (RCE) lewat input yang dirancang khusus. Gimana nya proses deserialization ini dimanipulasi adalah kunci dari serangan tersebut.
Selain tiga “bug” di atas, buletin Desember 2025 dari SAP juga mencantumkan perbaikan untuk lima celah berisiko tinggi dan enam isu tingkat menengah. Masalahnya bervariasi, mulai dari korupsi memori, kegagalan autentikasi, cross-site scripting (XSS), hingga pengungkapan informasi. Meskipun levelnya medium, sebegitunya digabungkan dalam rantai serangan (chain attack), efeknya tetap bisa fatal.
Kami selalu mengingatkan bahwa solusi SAP sangat tertanam dalam lingkungan perusahaan dan mengelola beban kerja bernilai tinggi. Makanya, mereka selalu jadi target favorit para peretas. Belum lama ini, peneliti dari SecurityBridge menemukan serangan in-the-wild yang menyalahgunakan celah injeksi kode (CVE-2025-42957) pada deployment SAP S/4HANA dan NetWeaver. Denger nya kabar seperti itu saja sudah cukup jadi alasan buat kita lebih waspada.
Untungnya, sampai artikel ini ditulis, SAP belum menandai satu pun dari 14 celah baru ini sebagai “dieksploitasi secara aktif”. Tapi, itu bukan alasan buat santai. Tunggu nya serangan terjadi baru bertindak adalah strategi yang buruk.
Kesimpulan
Berdasarkan pengamatan kami di lapangan, kayaknya celah pada Solution Manager adalah yang paling riskan karena peran sentralnya dalam ekosistem IT perusahaan. Admin sistem harus segera melakukan deployment patch tanpa penundaan. Kerjaan mungkin akan sedikit lembur minggu ini buat testing dan patching, tapi itu jauh lebih baik daripada harus handling insiden keamanan di tengah liburan nanti. Pastikan backup sudah aman sebelum eksekusi, dan pantau terus log sistem kalian pasca-update. Keamanan data enterprise ada di tangan kalian, jadi pastikan tertutupnya celah keamanan ini rapat-rapat.