A SAP lançou correções de segurança para 13 novas vulnerabilidades, incluindo um reforço adicional para uma falha de severidade máxima no SAP NetWeaver AS Java, que pode permitir a execução arbitrária de comandos.
Identificada como
CVE-2025-42944
, essa vulnerabilidade possui pontuação CVSS 10,0 e está relacionada a um problema de insecure deserialization.
Segundo a descrição no CVE.org, “devido a uma falha de deserialização no SAP NetWeaver, um atacante sem autenticação pode explorar o sistema via módulo RMI-P4 ao enviar um payload malicioso para uma porta aberta”.
A deserialização de objetos Java não confiáveis pode levar à execução arbitrária de comandos no sistema operacional, comprometendo a confidencialidade, integridade e disponibilidade da aplicação.
Embora a SAP tenha divulgado uma correção inicial no mês passado, a empresa de segurança Onapsis destacou que a atualização mais recente traz camadas extras de proteção.
Entre essas medidas, está a implementação de um filtro global na JVM (jdk.serialFilter), que impede a deserialização de determinadas classes.
A lista de classes e pacotes bloqueados foi elaborada em parceria com o ORL (Open Review Labs) e está dividida em seções obrigatórias e opcionais.
Outra falha crítica corrigida é a
CVE-2025-42937
, um problema de directory traversal no SAP Print Service decorrente da validação inadequada de caminhos.
Essa vulnerabilidade permite que um atacante não autenticado acesse o diretório pai e sobrescreva arquivos do sistema, com gravidade avaliada em 9,8 pelo CVSS.
A terceira vulnerabilidade de alto risco é a
CVE-2025-42910
, com pontuação CVSS 9,0, uma falha de unrestricted file upload no SAP Supplier Relationship Management.
Esse bug possibilita que invasores façam upload de arquivos arbitrários, incluindo executáveis maliciosos, comprometendo a segurança da aplicação.
Até o momento, não há evidências de exploração dessas falhas em ataques reais. Contudo, é fundamental que os usuários apliquem os patches e mitigadores o quanto antes para evitar riscos futuros.
“Deserialização continua sendo o principal vetor de ataque”, afirma Jonathan Stross, da Pathlock.
“A cadeia P4/RMI segue representando uma exposição crítica no AS Java, com a SAP lançando tanto uma correção direta quanto uma configuração reforçada da JVM para diminuir o abuso de classes ‘gadget’.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...