SAP corrige vulnerabilidades críticas no servidor de aplicativos NetWeaver

A SAP corrigiu duas vulnerabilidades críticas em seu servidor de aplicativos web NetWeaver, que poderiam ser exploradas para escalonar privilégios e acessar informações restritas.

Como parte do Dia de Atualização de Segurança de Janeiro, a empresa também lançou correções para outros produtos, abordando 12 problemas adicionais classificados como de gravidade média e alta.

"A SAP recomenda fortemente que os clientes visitem o Portal de Suporte e apliquem os patches prioritariamente para proteger seu ambiente SAP", afirma o boletim de segurança da empresa.

As quatro vulnerabilidades mais graves corrigidas neste mês são as seguintes:

1. CVE-2025-0070 (criticidade: 9,9): Uma falha de autenticação inadequada no SAP NetWeaver Application Server para ABAP e na Plataforma ABAP permite que um atacante autenticado explore verificações de autenticação incorretas, resultando em escalonamento de privilégios e impactos significativos na confidencialidade, integridade e disponibilidade.

2. CVE-2025-0066 (criticidade: 9,9): Uma vulnerabilidade de divulgação de informações no SAP NetWeaver AS para ABAP e na Plataforma ABAP (Internet Communication Framework) ocorre devido a controles de acesso fracos, permitindo que um invasor acesse informações restritas e comprometa significativamente a confidencialidade, integridade e disponibilidade.

3. CVE-2025-0063 (gravidade alta: 8,8): Uma vulnerabilidade de injeção SQL no SAP NetWeaver AS ABAP e na Plataforma ABAP surge da ausência de verificações de autorização em certos módulos de função RFC. Isso possibilita que um atacante com privilégios básicos comprometa um banco de dados Informix, resultando em perda completa de confidencialidade, integridade e disponibilidade.

4. CVE-2025-0061 (gravidade alta: 8,7): Múltiplas vulnerabilidades no SAP BusinessObjects Business Intelligence Platform permitem que um atacante não autenticado realize sequestro de sessão pela rede devido a uma falha de divulgação de informações. Isso possibilita o acesso e a modificação de todos os dados da aplicação.

   
   

Impacto e Recomendações:

Os produtos da SAP são amplamente utilizados por grandes empresas de setores como manufatura, finanças, varejo, saúde e governo, desempenhando funções críticas no gerenciamento de operações e no relacionamento com clientes.

O SAP NetWeaver é uma plataforma central para executar aplicações ABAP e garantir comunicações seguras via Internet Communication Framework. Ele é frequentemente utilizado por administradores de TI, desenvolvedores e consultores na gestão de sistemas ERP para finanças, RH e cadeia de suprimentos.

O SAP BusinessObjects é uma plataforma de relatórios, análises e visualização de dados usada por analistas e equipes de TI para obter insights e apoiar decisões estratégicas.

Ataques anteriores exploraram produtos SAP desatualizados ou configurados de maneira inadequada, deixando redes vulneráveis a violações de segurança.

A SAP enfatiza a necessidade de seus clientes aplicarem os patches mais recentes para proteger seus ambientes e minimizar riscos.

Via - BC