SAP、NetWeaverにおけるコマンド実行の深刻な脆弱性CVE-2025-42944を修正　CVSSスコアは10.0

nosa

2025.09.10

9月10日：サイバーセキュリティ関連ニュース

SAP、NetWeaverにおけるコマンド実行の深刻な脆弱性CVE-2025-42944を修正　CVSSスコアは10.0

BleepingComputer – September 9, 2025

ERPソフトウェアプロバイダーのSAPは、自社製品「NetWeaver」に影響を及ぼす3件の重大なバグを含め、新たに発見された脆弱性21件を修正した。

SAP NetWeaverはERP・CRM・SRM・SCMなど同社のビジネスアプリケーションの基盤となるモジュール型ミドルウェアで、大規模な企業ネットワークに広く導入されている。9月のセキュリティブレティンではCVE-2025-42944の深刻度が最も高く、CVSS v3.1のスコアで10／10と評価された。

このバグはSAP NetWeaver（RMIP4）とServerCore 7.50における安全でないデシリアライゼーションの脆弱性とされ、未認証の攻撃者が開いているポートにRMI-P4※モジュールを介して有害なJavaオブジェクトを送信することで、任意のOSコマンドを実行できると説明された。

※ SAP NetWeaver AS JavaがSAP間の内部通信や管理のために使用するRMI（Remote Method Invocation）プロトコル

そのほかにもCVE-2025-42922（CVSS：9.9）やCVE-2025-42958（同9.1）、CVE-2025-42933（同8.8）、CVE-2025-42929（同8.1）、CVE-2025-42916（同8.1）といった重大な脆弱性が修正されている。

Anthropicのコーディング支援ツール「Claude Code」の自動レビュー機能、安全性に不安残す

The Register – Tue 9 Sep 2025

アプリセキュリティ企業Checkmarxの調査により、AnthropicのAIコーディング支援ツール「Claude Code」の自動レビューで一部のバグを検出できるものの、見逃されるものがいくつも存在する上、テスト中のコード実行によって新たなリスクが生じる可能性も明らかになった。

Anthropicは先月、Claude Codeに自動セキュリティレビューを導入し、「基本のセキュリティレビューなしではコードが本番環境にリリースされない」ことを約束した。このAI主導のレビューはコマンド「/security-review」やGitHub Actionを使って実行でき、認証と認可の欠陥、安全でないデータ処理、依存関係の脆弱性、そしてSQLインジェクションなど、一般的な脆弱性パターンをチェックすると説明されている。

Checkmarxのレポートによると、Claude Codeの/security-reviewコマンドはXSS（クロスサイトスクリプティング）などの単純な脆弱性や、多くの静的解析ツールで見逃されやすい認可バイパスの問題も検出することに成功したようだ。しかし、Pythonデータ分析ライブラリpandasを使ったリモートコード実行の欠陥には勝てず、実際の脆弱性が「偽陽性」として誤検出されたという。

また、AIに間違った答えを返すよう細工したコードが使われた場合や、Claude Codeのセキュリティレビューが独自のテストケースを生成・実行することも問題視されている。Claude Codeの利用時、開発者には信頼できるコードでのみ使用するよう警告するメッセージが表示される。CheckmarxはAIセキュリティレビューの価値を否定してはいないものの、警告メッセージを真剣に受け止めるよう訴え、この機能を安全に使用するために以下4つのヒントを紹介した。