HackerNews 编译，转载请注明出处：

SAP近日发布2025年11月安全更新，共修复19项安全漏洞，其中包含SQL Anywhere Monitor组件中一处可导致远程代码执行的严重缺陷。

该漏洞编号为CVE-2025-42890（CVSS评分10.0），属于SQL Anywhere Monitor（非图形界面版）的密钥与密钥管理缺陷。安全公告指出，组件中存在的硬编码凭证允许攻击者执行任意代码，严重威胁系统机密性、完整性与可用性。

公告声明："SQL Anywhere Monitor（非图形界面版）将凭证直接嵌入代码，导致资源或功能暴露给非目标用户，使攻击者可能实现任意代码执行。这将对系统保密性、完整性和可用性造成重大影响。"专家建议临时禁用SQL Anywhere Monitor并删除所有现有监控数据库实例。

同时，SAP还修复了SAP Solution Manager中编号CVE-2025-42887（CVSS评分9.9）的严重代码注入漏洞。该缺陷源于输入验证缺失，攻击者可在调用远程功能模块时插入恶意代码。公告强调："由于缺乏输入验证，SAP Solution Manager允许经过身份验证的攻击者在调用远程功能模块时插入恶意代码。这可能使攻击者获得系统完全控制权，从而对系统机密性、完整性和可用性产生重大影响。"

此外，SAP还针对10月补丁日发布的安全笔记推出更新，修复了SAP NetWeaver AS Java中涉及不安全反序列化的严重漏洞（CVE-2025-42944）。目前尚未确认本月修复的安全漏洞是否已被主动利用。

...