Kompanija SAP je u utorak objavila 16 novih i ažuriranih bezbjednosnih bilješki u okviru svog redovnog mjesečnog ciklusa zakrpa, uključujući tri koje otklanjaju kritične ranjivosti.
Jedna od zakrpa objavljenih na oktobarskom „Security Patch Day“ ponovo rješava ranjivost CVE-2025-42944 (CVSS ocjena 10/10), opisanu kao nesigurna deserializacija u NetWeaver AS Java platformi.
Prema izvještaju kompanije Onapsis, koja se bavi bezbjednošću poslovnog softvera, ova bezbjednosna bilješka dodaje nove slojeve zaštite protiv ranjivosti nesigurne deserializacije u NetWeaveru, uključujući i CVE-2025-42944, koja je prvobitno zakrpljena u septembru 2025. godine.
SAP je takođe ažurirao septembarsku bilješku koja se bavila istom ranjivošću, dodajući reference na novoobjavljena preporučena rješenja za jačanje zaštite.
„Dodatni sloj zaštite zasnovan je na implementaciji JVM-širokog filtera (jdk.serialFilter) koji sprečava deserializaciju određenih klasa“, objašnjavaju iz Onapsisa.
Druga kritična ranjivost koja je ispravljena odnosi se na CVE-2025-42937 (CVSS ocjena 9.8), grešku tipa directory traversal u Print Serviceu, koja omogućava neautentifikovanim napadačima da prepišu sistemske fajlove.
SAP je takođe objavio zakrpu za CVE-2025-42910 (CVSS ocjena 9.0), propust u modulu Supplier Relationship Management (SRM) koji dozvoljava neograničeno postavljanje fajlova, čime autentifikovani napadači mogu otpremiti proizvoljne fajlove, uključujući i izvršne koji sadrže malver.
Ovog mjeseca, SAP je objavio i dvije bilješke koje rješavaju ranjivosti visokog stepena rizika. Prva ispravlja grešku uskraćivanja usluge (DoS) CVE-2025-5115 u Commerce Cloudu, dok druga otklanja pogrešnu bezbjednosnu konfiguraciju (CVE-2025-48913) u Data Hub Integration Suiteu.
Preostalih deset novih i ažuriranih bilješki odnosi se na ranjivosti srednjeg i niskog rizika u NetWeaveru, ABAP-u, Commerce Cloudu, S/4HANA-i, Financial Service Claims Managementu, BusinessObjectsu i Cloud Applianceu.
Nakon redovnog mjesečnog dana zakrpa, SAP je ažurirao i septembarsko saopštenje sa jednom novom i sedam izmijenjenih bezbjednosnih bilješki, uključujući tri koje se odnose na kritične ranjivosti.
Iako SAP nije naveo da su ovi propusti aktivno iskorišćeni u napadima, korisnicima se preporučuje da što prije primijene zakrpe i preporučene mjere zaštite, jer su hakeri poznati po tome da ciljaju SAP ranjivosti u svojim napadima.
Izvor: SecurityWeek
