Njemački softverski gigant SAP u utorak je objavio 21 novu i četiri ažurirane bezbjednosne bilješke, uključujući četiri koje se odnose na kritične ranjivosti u NetWeaver platformi.
Najozbiljnija od njih je CVE-2025-42944 (CVSS ocjena 10/10), problem nesigurne deserializacije u RMI-P4 modulu AS Java. Ova ranjivost omogućava neautentifikovanim hakerima da pošalju maliciozne payload-e na otvoreni port i izvrše proizvoljne OS komande.
Uspješnim iskorišćavanjem ovog propusta, napadač može preuzeti potpunu kontrolu nad kompromitovanom NetWeaver infrastrukturom, ugroziti dostupnost sistema i povjerljivost podataka.
Sljedeća na listi je ranjivost CVE-2025-42922 (CVSS ocjena 9.9), opisana kao nesigurna operacija nad fajlovima u NetWeaver AS Java Deploy Web Service komponenti. Ovaj propust omogućava hakerima da otpreme proizvoljne fajlove, što potencijalno vodi do izvršavanja koda na udaljenom sistemu.
„Na izvršavanje fajla, sistem može biti potpuno kompromitovan“, objašnjava kompanija za bezbjednost poslovnih aplikacija Onapsis.
Treća kritična ranjivost koju je SAP zakrpio u okviru septembarskog patch dana je CVE-2025-42958 (CVSS ocjena 9.1), koja se odnosi na nedostatak provjere autorizacije u NetWeaver instancama na IBM i-series platformi. Za iskorišćavanje ovog propusta potrebni su visoki privilegiji, a omogućava čitanje, izmjenu ili brisanje osjetljivih podataka, kao i pristup administratorskim funkcijama.
SAP je takođe ažurirao bezbjednosnu bilješku prvobitno objavljenu u martu 2023, koja se odnosi na kritičnu ranjivost tipa directory traversal u NetWeaver AS ABAP okruženju.
Pored kritičnih propusta, SAP je objavio i tri nove bilješke koje se bave ranjivostima visokog rizika u Business One (SLD), Landscape Transformation Replication Server-u i S/4HANA (Private Cloud ili On-Premise), kao i ažuriranje postojeće bilješke za NetWeaver i ABAP Platformu. Ove ranjivosti bi mogle omogućiti hakerima krađu kredencijala, brisanje proizvoljnih tabela koje nisu zaštićene autorizacionim grupama ili pristup osjetljivim informacijama.
Preostale bilješke odnose se na ranjivosti srednje i niske ozbiljnosti, koje mogu dovesti do napada uskraćivanja usluge (DoS), CSRF i XSS napada, curenja informacija, manipulacije podacima, eskalacije privilegija i neautorizovanog pristupa ograničenim funkcionalnostima.
Iako SAP nije prijavio da su ove ranjivosti trenutno iskorišćene u napadima, korisnicima se savjetuje da što prije primijene zakrpe. Hakeri su u prošlosti koristili već objavljene propuste u SAP softveru.
Izvor: SecurityWeek
