SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos

A SAP divulgou as suas atualizações mensais do Security Patch Day, abordando um total de 18 novas notas de segurança e fornecendo duas atualizações para notas existentes. O foco das correções reside em vulnerabilidades que poderiam permitir a execução remota de código e vários ataques de injeção em todo o seu ecossistema de produtos.

Estas correções são cruciais, uma vez que vulnerabilidades não corrigidas podem expor dados confidenciais, causar interrupções operacionais e permitir o acesso a agentes maliciosos nos sistemas SAP. A empresa recomenda que os clientes priorizem a aplicação imediata destas correções através do Portal de Suporte.

Entre os problemas mais graves destacam-se a CVE-2025-42890, encontrada no SQL Anywhere Monitor, versão 17.0. Esta falha decorre de práticas inseguras de gestão de chaves e segredos e permite que os agentes de ameaças não autenticados na rede comprometam a confidencialidade, a integridade e a disponibilidade com elevado impacto, podendo levar à tomada total do sistema através de credenciais expostas.

Da mesma forma, uma atualização para a CVE-2025-42944 no SAP NetWeaver AS Java reforça as proteções contra a desserialização insegura. Esta falha de segurança permite a execução remota de código não autenticado através de payloads maliciosos. Os especialistas realçam a urgência da aplicação da atualização, dado que estas falhas de desserialização têm sido exploradas ativamente.

Outra falha de grande impacto, a CVE-2025-42887 no SAP Solution Manager, introduz uma vulnerabilidade de injeção de código explorável por utilizadores autenticados com privilégios baixos. Os atacantes podem explorar esta falha para obter o escalonamento de privilégios, executar código arbitrário e interromper funções essenciais do negócio.

As recentes atualizações de segurança da SAP abordam uma tendência crítica: ataques de injeção que visam os componentes essenciais do seu software de gestão empresarial, amplificando os riscos para ambientes empresariais.

As correções também abordam vários problemas relacionados com a injeção de gravidade média, incluindo o CVE-2025-42892 para a injeção de comandos no sistema operativo no SAP Business Connector, que poderia permitir que atacantes adjacentes com elevados privilégios executassem comandos não autorizados.

O CVE-2025-42884 envolve a injeção de JNDI no SAP NetWeaver Enterprise Portal, levando potencialmente a pesquisas não autorizadas e fugas de dados. Adicionalmente, a CVE-2025-42889 corrige uma injeção de SQL no SAP Starter Solution em diversas versões, permitindo que utilizadores com privilégios limitados manipulem consultas à base de dados.

Entre as vulnerabilidades de alta gravidade, destaca-se a CVE-2025-42940, um problema de corrupção de memória no SAP CommonCryptoLib, que pode causar negação de serviço sem autenticação.

As correções de média prioridade abrangem ainda problemas de path traversal (CVE-2025-42894), redireccionamentos abertos (CVE-2025-42924), XSS refletido (CVE-2025-42886) e autenticação em falta (CVE-2025-42885) em componentes como o SAP HANA 2.0 e o Business One.