top of page
Buscar

SAP corrige falhas críticas no NetWeaver e S/4HANA

  • Foto do escritor: Orlando Santos Cyber Security Brazil
    Orlando Santos Cyber Security Brazil
  • 10 de set.
  • 2 min de leitura

ree

A SAP lançou uma série de atualizações de segurança cruciais para corrigir múltiplas vulnerabilidades em suas plataformas NetWeaver e S/4HANA. Entre as correções, destacam-se três falhas críticas no SAP NetWeaver, que podem levar à execução remota de código e ao upload de arquivos arbitrários, representando um risco significativo para a segurança dos sistemas empresariais.


Vulnerabilidades Críticas no SAP NetWeaver


As três vulnerabilidades mais graves encontradas no SAP NetWeaver são:

  • CVE-2025-42944 (Pontuação CVSS: 10.0): Esta é uma falha de desserialização que permite a um invasor não autenticado enviar uma carga maliciosa para uma porta aberta através do módulo RMI-P4. Uma exploração bem-sucedida pode resultar na execução de comandos do sistema operacional, o que, segundo a Onapsis, pode levar ao comprometimento total do aplicativo. A SAP recomenda, como medida temporária, a filtragem da porta P4 no nível do ICM para impedir conexões de hosts desconhecidos.

  • CVE-2025-42922 (Pontuação CVSS: 9.9): Uma vulnerabilidade de operação de arquivo insegura no SAP NetWeaver AS Java que permite a um invasor autenticado, mesmo sem privilégios administrativos, carregar um arquivo arbitrário.

  • CVE-2025-42958 (Pontuação CVSS: 9.1): Esta falha de verificação de autenticação ausente, presente no aplicativo SAP NetWeaver para IBM i-series, permite que usuários não autorizados com privilégios elevados leiam, modifiquem ou excluam informações confidenciais, além de acessarem funcionalidades administrativas ou privilegiadas.


Essas vulnerabilidades expõem sistemas críticos a riscos de acesso não autorizado e controle total, enfatizando a urgência na aplicação dos patches.


Falha de Alta Gravidade no SAP S/4HANA e Alerta de Exploração Ativa


Além das correções no NetWeaver, a SAP também abordou um bug de alta gravidade no SAP S/4HANA (CVE-2025-42916, pontuação CVSS: 8.1). Esta falha de validação de entrada ausente poderia permitir que um invasor com acesso privilegiado a relatórios ABAP excluísse o conteúdo de tabelas arbitrárias de banco de dados, caso essas tabelas não estivessem protegidas por um grupo de autorização.


Os novos patches chegam poucos dias após empresas de segurança como SecurityBridge e Pathlock revelarem que um defeito crítico de segurança no SAP S/4HANA (CVE-2025-42957, pontuação CVSS: 9.9), corrigido pela SAP no mês passado, está sendo ativamente explorado.


Embora não haja evidências de que as vulnerabilidades recém-divulgadas tenham sido exploradas ativamente por hackers até o momento, a existência de explorações de falhas anteriores destaca a necessidade imperativa de que os usuários apliquem as atualizações de segurança o mais rápido possível para garantir a proteção ideal de seus sistemas.


Via - THN

 
 
 

Comentários

bottom of page