A SAP anunciou uma série de atualizações de segurança essenciais para corrigir vulnerabilidades graves em suas plataformas NetWeaver e S/4HANA. As falhas corrigidas representam riscos significativos de exploração por cibercriminosos, incluindo execução remota de código e acesso indevido a dados confidenciais.
Vulnerabilidades críticas no SAP NetWeaver
As três falhas mais graves identificadas no SAP NetWeaver são:
-
CVE-2025-42944 (CVSS 10.0): falha de desserialização que pode permitir a invasores não autenticados executar comandos do sistema operacional via módulo RMI-P4.
-
CVE-2025-42922 (CVSS 9.9): vulnerabilidade de operação de arquivo insegura, que possibilita a usuários autenticados fazer upload de arquivos arbitrários sem privilégios administrativos.
-
CVE-2025-42958 (CVSS 9.1): falha de autenticação ausente no NetWeaver para IBM i-series, permitindo acesso não autorizado a dados sensíveis e funções administrativas.
Segundo especialistas da Onapsis, essas brechas expõem sistemas corporativos a riscos de comprometimento total, reforçando a necessidade imediata de aplicação dos patches.
Falhas graves no SAP S/4HANA e exploração ativa
Além do NetWeaver, a SAP também corrigiu uma falha de alta gravidade no S/4HANA (CVE-2025-42916, CVSS 8.1), que poderia permitir exclusão de tabelas de banco de dados por meio de relatórios ABAP sem proteção adequada.
O alerta de segurança foi reforçado após empresas como SecurityBridge e Pathlock confirmarem que outra vulnerabilidade crítica (CVE-2025-42957, CVSS 9.9), corrigida no mês passado, já está sendo ativamente explorada por hackers.
Recomendação urgente
Embora ainda não haja indícios de exploração das novas falhas, o histórico recente mostra que os cibercriminosos têm explorado brechas não corrigidas rapidamente. A SAP recomenda que todas as organizações apliquem as atualizações de segurança sem demora para garantir a proteção de seus ambientes críticos.
