Redazione RHC:9 Dezembro 2025 10:41
A SAP acaba de lançar sua mais recente atualização anual de segurança, que contém 14 novas correções de bugs de segurança. Entre eles está um Um crítico “código injecção” falha no SAP Solution Manager representa um alto risco para a integridade dos sistemas corporativos, com uma classificação de severidade muito próxima do máximo.
Essa vulnerabilidade, que tem uma pontuação CVSS de 9,9, é rotulado como “Crítico.” Sua causa está na falta de sanitização adequada de entrada, que permite um atacante autenticado executar código malicioso chamando um módulo de função que pode ser ativado remotamente.
Nesta coleção de correções, surgem outras duas notas críticas:
- Vulnerabilidades do Apache Tomcat no Commerce Cloud: A SAP corrigiu várias vulnerabilidades que afetam Apache Tomcat no SAP Commerce Cloud. Essas vulnerabilidades, incluindo CVE-2025-55754, têm uma pontuação crítica CVSS de 9,6.
- Desserialização no jConnect: Um vulnerabilidade de desserialização de alto risco foi abordada no SAP jConnect SDK para ASE . Essa vulnerabilidade (CVE-2025-42928), classificado sob CVSS 9.1, poderia permitir que um usuário privilegiado iniciasse Execução remota de código Sob condições específicas.
Uma das preocupações mais significativas é CVE-2025-42880um Falha de segurança de Code Injection afetando o SAP Solution Manager, especialmente na versão ST 720.
Confidencialidade, integridade e disponibilidade poderiam ser completamente comprometidas se um atacante obtivesse controle total do sistema por meio de uma exploração eficaz. As consequências seriam muito sérias.
Além dos avisos críticos, várias questões de alta gravidade foram tratadas:
- Exposição a Dados Sensíveis (CVE-2025-42878): O SAP Web Dispatcher e o Internet Communication Manager (ICM) foram descobertos como potencialmente expor interfaces internas de teste. Se mantidos ativados, atacantes não autenticados poderiam “acessar diagnósticos, enviar requisições falsificadas ou interromper serviços.”
- Negação de Serviço (DoS): Duas vulnerabilidades DoS separadas (CVE-2025-42874 e CVE-2025-48976) foram corrigidos: um no SAP NetWeaver (serviço remoto para Xcelsius) e outro no SAP Business Objects.
- Corrupção de Memória (CVE-2025-42877): Uma falha de corrupção de memória que afeta Web Dispatcher, ICM e SAP Content Server também foi resolvida.
Os administradores são fortemente incentivados a revisar e implementar esses patches, especialmente a correção crítica para o Solution Manager, para garantir que seus ambientes SAP permaneçam protegidos até 2026.
- Apache Tomcat
- Objetos de Negócio
- Injeção de Código
- CVE-2025-42880
- Atualização de Cibersegurança
- jConnect
- SAP Commerce Cloud
- SAP NetWeaver
- Segurança SAP
- Gerenciador de Soluções
- Patch de vulnerabilidades
Redazione
A equipe editorial do Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias iniciais sobre cibersegurança e computação em geral.