SAP ogłosił we wtorek 21 nowych i cztery zaktualizowane notatki bezpieczeństwa, w tym cztery dotyczące luk o krytycznym znaczeniu w NetWeaver.
Najpoważniejszym z błędów jest CVE-2025-42944 (wynik CVSS 10/10), niebezpieczny problem z deserializacją w module RMI-P4 AS Java, umożliwiający nieuwierzytelnionym atakującym przesyłanie złośliwych danych do otwartego portu i wykonywanie dowolnych poleceń systemu operacyjnego.
Udane wykorzystanie tej luki bezpieczeństwa może umożliwić atakującemu przejęcie podatnej infrastruktury NetWeaver, zakłócenie dostępności systemu i naruszenie jego poufności.
SAP NetWeaver to autorska platforma integracyjna. Umożliwia tworzenie aplikacji, ich udostępnianie oraz zarządzanie nimi. Mogą to być aplikacje utworzone zarówno przez SAP, jak i innych producentów. NetWeaver pozwala na integrację aplikacji niezależnie od środowiska, w jakim zostały zainstalowane (np. różne bazy albo systemy operacyjne).
SAP NetWeaver wykorzystywany jest przez SAP jako środowisko uruchomieniowe dla rozwiązań biznesowych, np. systemów takich jak SAP ERP albo BI.
Kolejna luka to CVE-2025-42922 (wynik CVSS 9,9), opisana jako niebezpieczny błąd w działaniu plików w usłudze Deploy Web Service w NetWeaver AS Java. Umożliwia atakującym przesyłanie dowolnych plików, potencjalnie prowadząc do zdalnego wykonania kodu.
„Podczas wykonywania pliku system może zostać całkowicie skompromitowany” – wyjaśnia Onapsis, firma zajmująca się bezpieczeństwem aplikacji korporacyjnych.
Trzecia luka o krytycznym znaczeniu, jaką SAP załatała w ramach wrześniowego wydania bezpieczeństwa, to CVE-2025-42958 (wynik CVSS 9,1), czyli brak kontroli autoryzacji w NetWeaver działającym na platformie IBM i-series.
Błąd wymaga wysokich uprawnień do skutecznego wykorzystania. Umożliwia atakującym odczyt, modyfikację oraz usunięcie poufnych informacji, a także dostęp do funkcji administracyjnych lub uprzywilejowanych.
SAP zaktualizował również notatkę bezpieczeństwa opublikowaną pierwotnie w marcu 2023 r., która rozwiązuje krytyczny błąd związany z przemierzaniem katalogów w NetWeaver AS ABAP.
We wtorek firma SAP opublikowała trzy nowe notatki bezpieczeństwa, usuwające luki o wysokim stopniu zagrożenia w Business One (SLD), Landscape Transformation Replication Server i S/4HANA (chmura prywatna lub lokalna), a także zaktualizowała notatkę o wysokim priorytecie, która rozwiązuje błąd w NetWeaver i platformie ABAP.
Udane wykorzystanie luk może umożliwić atakującym ujawnienie danych uwierzytelniających, usunięcie dowolnych tabel niechronionych przez grupę autoryzacji lub dostęp do krytycznych informacji.
Pozostałe notatki bezpieczeństwa rozwiązują problemy o średnim i niskim stopniu zagrożenia, mogące prowadzić do odmowy usługi (DoS), ataków CSRF i XSS, ujawnienia informacji, manipulacji danymi, eskalacji uprawnień i dostępu do ograniczonej funkcjonalności.
SAP nie wspomina o wykorzystaniu którejkolwiek z luk, ale użytkownikom zaleca się jak najszybsze zastosowanie poprawek. Wiadomo, iż w przeszłości hakerzy atakowali luki w SAP, dla których opublikowano poprawki.
