SAP corrige vulnerabilidades críticas no NetWeaver

A SAP anunciou o lançamento de 21 novas notas de segurança e atualizações, incluindo quatro correções críticas que afetam diretamente o NetWeaver, uma das principais plataformas da empresa.

A vulnerabilidade mais grave é a CVE-2025-42944, um problema de insecure deserialization no módulo RMI-P4 do AS Java. A falha permite que atacantes não autenticados enviem payloads maliciosos para uma porta aberta e executem comandos arbitrários no sistema operativo. Segundo os especialistas, a exploração bem-sucedida pode levar ao controlo total da infraestrutura, comprometendo disponibilidade e confidencialidade.

Outra vulnerabilidade de alto risco é a CVE-2025-42922, classificada como operação insegura de ficheiros no Deploy Web Service do NetWeaver AS Java. O bug permite o carregamento de ficheiros arbitrários, o que pode resultar em execução remota de código e comprometimento completo do sistema.

Já a CVE-2025-42958 corrige a ausência de verificação de autorização no NetWeaver em execução no IBM i-series. Embora exija privilégios elevados para ser explorada, pode permitir que atacantes leiam, modifiquem ou eliminem dados confidenciais e acedam a funcionalidades administrativas.

A SAP também atualizou uma nota de março de 2023, que tratava um defeito crítico de travessia de diretórios no NetWeaver AS ABAP. Além disso, lançou três novas notas de alta gravidade, direcionadas ao Business One (SLD), ao Landscape Transformation Replication Server e ao S/4HANA.

As restantes atualizações abordam falhas de média e baixa gravidade, incluindo riscos de negação de serviço (DoS), CSRF, XSS, divulgação de informação, adulteração de dados, escalonamento de privilégios e acesso indevido a funcionalidades restritas.