Falha crítica do SAP S/4HANA CVE-2025-42957 sob exploração ativa

Falha crítica do SAP S/4HANA CVE-2025-42957 sob exploração ativa

Falha crítica do SAP S/4HANA CVE-2025-42957 sob exploração ativa

Especialistas alertam para uma vulnerabilidade explorada ativamente, rastreada comoCVE-2025-42957(pontuação CVSS: 9,9), no software SAP S/4HANA.

Uma vulnerabilidade crítica de injeção de comando, rastreada como CVE-2025-42957 (pontuação CVSS de 9,9), no SAP S/4HANA está sob exploração ativa.

Um invasor pode explorar essa falha para comprometer totalmente os sistemas SAP, alterando bancos de dados, criando contas de superusuário e roubando hashes de senha.

“O SAP S/4HANA permite que um invasor com privilégios de usuário explore uma vulnerabilidade no módulo de função exposto via RFC. Essa falha permite a injeção de código ABAP arbitrário no sistema, ignorando verificações de autorização essenciais.” lê o comunicado. “Essa vulnerabilidade funciona efetivamente como um backdoor, criando o risco de comprometimento total do sistema, minando a confidencialidade, integridade e disponibilidade do sistema.”

O SAP S/4HANA ERP é o pacote de planejamento de recursos empresariais (ERP) da SAP, projetado para ajudar organizações de grande e médio porte a gerenciar os principais processos de negócios, como finanças, cadeia de suprimentos, manufatura, vendas, compras e recursos humanos.

A falha afeta todas as versões do SAP S/4HANA (nuvem privada e local) e pode ser explorada a partir de uma conta de baixo privilégio para comprometer totalmente o sistema.

O fornecedor abordou a vulnerabilidade em 11 de agosto de 2025.

O SecurityBridge Threat Research Labs encontrou e confirmou uma exploração para esse problema que está ativa na natureza, recomendando que os administradores resolvam imediatamente a falha.

“Um comprometimento completo do sistema com o mínimo de esforço necessário, onde a exploração bem-sucedida pode facilmente levar a fraudes, roubo de dados, espionagem ou instalação de ransomware.” relatou SecurityBridge. “Para demonstrar o impacto potencial dessa vulnerabilidade, criamos a demonstração anexa com base em nossa própria pesquisa e ferramentas:”

Os especialistas da SecurityBridge alertam que, embora ainda não seja generalizada, a falha já está sendo abusada. Os sistemas SAP sem patch são expostos e os exploits são fáceis de criar por meio da engenharia reversa do patch ABAP.

“O invasor precisa apenas de credenciais de baixo nível no sistema SAP (qualquer conta de usuário válida com permissões para chamar o módulo RFC vulnerável e a autorização de S_DMIS específica com a atividade 02), e nenhuma interação do usuário é necessária”, conclui a SecurityBridge.

“A complexidade do ataque é baixa e pode ser realizada pela rede, e é por isso que a pontuação CVSS é tão alta (9,9). Em resumo, um insider mal-intencionado ou um agente de ameaça que obteve acesso básico de usuário (por meio de phishing, por exemplo) poderiaaproveitar essa falha paraescalar para o controle total do ambiente SAP.“

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking,SAP S/4HANA)

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.