SAP Corrige Vulnerabilidades Críticas no NetWeaver e S/4HANA

A SAP lançou atualizações de segurança para corrigir múltiplas vulnerabilidades, incluindo três falhas críticas no SAP NetWeaver que podem permitir execução de código e upload de arquivos arbitrários.

Vulnerabilidades Críticas Identificadas:

CVE-2025-42944 (CVSS 10.0) - Vulnerabilidade de desserialização no SAP NetWeaver que permite a um atacante não autenticado executar comandos arbitrários no sistema operacional através do módulo RMI-P4

CVE-2025-42922 (CVSS 9.9) - Operações de arquivo inseguras no SAP NetWeaver AS Java que permitem a usuários não administrativos autenticados fazer upload de arquivos arbitrários

CVE-2025-42958 (CVSS 9.1) - Falha de verificação de autenticação no SAP NetWeaver para IBM i-series que permite a usuários não autorizados com altos privilégios acessar informações sensíveis

Vulnerabilidade de Alta Severidade no S/4HANA:

CVE-2025-42916 (CVSS 8.1) - Falha de validação de entrada que permite a atacantes com privilégios elevados excluir conteúdo de tabelas de banco de dados arbitrárias

Contexto e Recomendações:

As correções chegam dias após a divulgação de que uma vulnerabilidade crítica anterior no SAP S/4HANA (CVE-2025-42957) já está sendo explorada ativamente. Embora não haja evidências de que as novas vulnerabilidades estejam sendo exploradas, recomenda-se a aplicação imediata das atualizações para proteção ideal.

A Onapsis recomenda como medida temporária a implementação de filtragem de porta P4 no nível ICM para prevenir conexões de hosts desconhecidos na porta P4.