A SAP divulgou suas atualizações de segurança de novembro, corrigindo diversas vulnerabilidades, incluindo uma falha de severidade máxima no componente não-GUI do SQL Anywhere Monitor e uma vulnerabilidade crítica de injeção de código na plataforma Solution Manager.
A falha no SQL Anywhere Monitor, identificada como
CVE-2025-42890
, está relacionada a credenciais hardcoded no código-fonte.
Devido ao alto risco associado, essa vulnerabilidade recebeu a nota máxima de severidade 10,0.
“SQL Anywhere Monitor (Non-GUI) incorporou credenciais no código, expondo recursos e funcionalidades a usuários não autorizados e possibilitando que atacantes executem código arbitrário”, detalha a descrição da falha.
Com essas credenciais, um invasor pode acessar funções administrativas, dependendo do modo de uso.
O SQL Anywhere Monitor é uma ferramenta de monitoramento e alerta de banco de dados, integrante da suíte SQL Anywhere, utilizada principalmente por organizações que gerenciam bancos de dados distribuídos ou remotos.
A versão não-GUI costuma ser instalada em appliances sem supervisão constante.
A segunda vulnerabilidade crítica, registrada como
CVE-2025-42887
, recebeu nota 9,9 e impacta o SAP Solution Manager, plataforma para gerenciamento do ciclo de vida de aplicações.
“Devido à ausência de sanitização adequada das entradas, o SAP Solution Manager permite que um atacante autenticado insira código malicioso ao chamar um módulo de função habilitado para acesso remoto”, informa o registro na National Vulnerability Database.
“Isso pode conceder controle total do sistema ao invasor, afetando gravemente a confidencialidade, integridade e disponibilidade.”
O SAP Solution Manager é uma plataforma centralizada de gestão e monitoramento utilizada por grandes empresas que operam redes complexas, incluindo soluções ERP, CRM e analytics.
No pacote de atualizações de novembro de 2025, a SAP também corrigiu uma vulnerabilidade de alta severidade (
CVE-2025-42940
) e outras 14 de gravidade média.
Além disso, o gigante alemão lançou um patch para a falha crítica
CVE-2025-42944
no NetWeaver, que já havia sido abordada no mês anterior.
Produtos SAP, amplamente presentes em grandes corporações e responsáveis por dados críticos, são alvos frequentes de hackers em busca de acessos valiosos.
No início deste ano, pesquisadores da SecurityBridge relataram exploração ativa de uma vulnerabilidade crítica de injeção de código (
CVE-2025-42957
) que afetava os sistemas SAP S/4HANA, Business One e NetWeaver.
Até o momento, não há registros de exploração ativa das duas vulnerabilidades críticas corrigidas nesta atualização, mas os administradores de sistemas são recomendados a aplicar os patches imediatamente e seguir as orientações do fabricante para mitigar os riscos de
CVE-2025-42890
e
CVE-2025-42887
(documentação disponível apenas para clientes SAP).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...