A SAP corrigiu 21 novas vulnerabilidades que afetam seus produtos, incluindo três falhas de severidade crítica que impactam a solução de software NetWeaver.
O SAP NetWeaver é a base para os aplicativos empresariais da SAP, como ERP, CRM, SRM e SCM, funcionando como um middleware modular amplamente utilizado em grandes redes corporativas.
No seu boletim de segurança de setembro, o fornecedor de software para planejamento de recursos empresariais (ERP) destaca uma vulnerabilidade com pontuação máxima de severidade, 10 de 10, identificada como
CVE-2025-42944
.
Essa falha é uma vulnerabilidade de insecure deserialization no SAP NetWeaver (RMIP4), ServerCore 7.50.
Um atacante não autenticado poderia explorá-la para executar comandos arbitrários no sistema operacional ao enviar um objeto Java malicioso para uma porta aberta por meio do módulo RMI-P4.
O RMI-P4 é o protocolo Remote Method Invocation usado pelo SAP NetWeaver AS Java para comunicação interna entre sistemas SAP ou para administração.
Embora a porta P4 esteja aberta no host, algumas organizações podem, inadvertidamente, expô-la a redes mais amplas ou à internet devido a configurações incorretas de firewall ou outras falhas.
Segundo o boletim de segurança, a segunda falha crítica corrigida pela SAP neste mês é a
CVE-2025-42922
(pontuação CVSS v3.1: 9.9), um bug de insecure file operations que impacta o NetWeaver AS Java (Deploy Web Service), J2EE-APPS 7.50.
Um atacante com acesso autenticado, porém não administrativo, pode explorar essa falha na funcionalidade de deployment de web service para fazer upload de arquivos arbitrários, possibilitando um comprometimento total do sistema.
A terceira falha é uma ausência de verificação de autenticação no NetWeaver, catalogada como
CVE-2025-42958
(pontuação CVSS v3.1: 9.1).
Essa vulnerabilidade permite que usuários não autorizados com altos privilégios leiam, modifiquem ou excluam dados sensíveis e acessem funcionalidades administrativas.
Além disso, a SAP corrigiu outras falhas de alta severidade, como:
-
CVE-2025-42933
(SAP Business One SLD): Armazenamento inseguro de dados sensíveis, como credenciais, que podem ser extraídas e utilizadas de forma maliciosa.
-
CVE-2025-42929
(SLT Replication Server): Falta de validação de entrada que permite que dados maliciosos corrompam ou manipulem informações replicadas.
-
CVE-2025-42916
(S/4HANA): Ausência de validação de entrada em componentes core, criando risco de manipulação não autorizada de dados.
Os produtos da SAP, amplamente adotados por grandes organizações e frequentemente responsáveis por dados críticos, são alvos constantes de grupos mal-intencionados em busca de compromissos de alto valor.
No início deste mês, foi revelado que hackers exploravam uma vulnerabilidade crítica de code injection, identificada como
CVE-2025-42957
, afetando as soluções S/4HANA, Business One e NetWeaver.
Administradores de sistemas são recomendados a seguir as orientações de patching e mitigação para as três falhas críticas, disponíveis aqui (1, 2, 3), para clientes com conta SAP.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...