A SAP lançou atualizações críticas de segurança em 12 de agosto de 2025, abordando 15 vulnerabilidades em seu portfólio de software empresarial, com três falhas graves de injeção de código recebendo as pontuações CVSS mais altas de 9,9.
O Security Patch Day mensal também incluiu quatro atualizações para Lançado notas de segurança, destacando o compromisso contínuo da empresa em proteger os ambientes dos clientes contra ameaças em evolução.
Vulnerabilidades críticas de injeção de código levam atualizações de segurança
As vulnerabilidades mais graves corrigidas este mês são três falhas de injeção de código que podem permitir que invasores executem código arbitrário com privilégios elevados.
Duas novas vulnerabilidades críticas, CVE-2025-42957 que afeta o SAP S/4HANA e CVE-2025-42950 que afetam o SAP Landscape Transformation, receberam classificações máximas de gravidade.
Além disso, a SAP atualizou uma vulnerabilidade de injeção de código divulgada anteriormente (CVE-2025-27429) no S/4HANA que foi corrigida pela primeira vez em abril de 2025.
| CVE ID | Produto | Tipo de vulnerabilidade | Prioridade | Pontuação CVSS |
| CVE-2025-42957 | SAP S/4HANA | Injeção de código | Crítico | 9.9 |
| CVE-2025-42950 | Transformação do cenário SAP | Injeção de código | Crítico | 9.9 |
| CVE-2025-27429 | SAP S/4HANA | Injeção de código | Crítico | 9.9 |
| CVE-2025-42951 | SAP Business One | Autorização quebrada | Alto | 8.8 |
| CVE-2025-42976 | SAP NetWeaver AS ABAP | Múltiplas vulnerabilidades | Alto | 8.1 |
| CVE-2025-42946 | SAP S/4HANA | Travessia de diretório | Média | 6.9 |
Essas vulnerabilidades de injeção são particularmente preocupantes, pois afetam os principais produtos SAP amplamente implantados em ambientes corporativos.
As falhas permitem ataques baseados em rede com baixa complexidade, exigindo apenas privilégios de baixo nível e nenhuma interação do usuário, tornando-os alvos atraentes para cibercriminosos buscando comprometer os cenários SAP.
O ciclo de patches de agosto aborda vulnerabilidades que abrangem vários produtos SAP e níveis de gravidade:
Além das falhas críticas de injeção, a SAP abordou vários outros problemas de segurança, incluindo vulnerabilidades de cross-site scripting (XSS) no NetWeaver Application Server, problemas de desvio de autorização e falhas de divulgação de informações.
Notavelmente, o ciclo de patches inclui correções para o SAP GUI for Windows e o SAP Cloud Connector, demonstrando o amplo escopo dos esforços de manutenção de segurança da SAP.
A empresa também abordou várias vulnerabilidades XSS com pontuações CVSS de 6,1, afetando os componentes do NetWeaver Application Server.
Embora essas vulnerabilidades exijam interação do usuário para serem exploradas, elas ainda podem facilitar ataques de phishing ou roubo de dados em cenários direcionados.
A SAP recomenda enfaticamente que os clientes visitem imediatamente o Portal de Suporte e apliquem esses patches com prioridade, especialmente para os três pontos críticos injeção de código Vulnerabilidades.
As organizações devem se concentrar primeiro em corrigir os sistemas SAP voltados para a Internet e aqueles que processam dados confidenciais.
A empresa também publicou diretrizes abrangentes de configuração de segurança para ajudar as organizações a manter posturas de segurança robustas em seus portfólios SAP.
Dada a gravidade das vulnerabilidades de injeção e seu potencial de exploração remota, as equipes de segurança devem tratar esse ciclo de patch como urgente e coordenar com os administradores do SAP para garantir a implantação rápida em todos os sistemas afetados.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!