SAP je otklonio više od deset ranjivosti kroz svoja „Patch Tuesday“ ažuriranja u avgustu, uključujući i kritične propuste.
Ovaj „Patch Tuesday“ — ili kako ga tehnološki gigant naziva, Dan bezbjednosnih zakrpa — donio je 15 novih bezbjednosnih bilješki (ispravki), uz četiri ažuriranja prethodnih zakrpa.
Onapsis, kompanija specijalizovana za bezbjednost poslovnih aplikacija, koja često otkriva ranjivosti u SAP proizvodima, istakla je da je proizvođač od prošlog „Patch Tuesday“ izdao ukupno 26 novih i ažuriranih ispravki.
Od tih 26 ispravki, četiri su klasifikovane kao „hot news“ ili kritične, uključujući dvije koje su nove i dvije koje predstavljaju ažuriranja postojećih zakrpa. Nove „hot news“ zakrpe odnose se na CVE-2025-42950 i CVE-2025-42957, opisane kao problemi sa injekcijom koda.
Prema navodima Onapsisa, ove ranjivosti se mogu iskoristiti za proizvoljno izvršavanje koda, što može dovesti do potpune kompromitacije sistema.
CVE-2025-42950 i CVE-2025-42957 predstavljaju istu ranjivost, naveo je Onapsis, ali su različiti CVE identifikatori dodijeljeni različitim proizvodima. CVE-2025-42957 je dodijeljen S/4HANA ERP softveru (enterprise resource planning), dok je CVE-2025-42950 vezan za stariju generaciju ERP softvera, ERP Central Component (ECC).
Nove zakrpe visokog prioriteta rješavaju problem neispravne autorizacije u SAP Business One (CVE-2025-42951, koji omogućava autentifikovanom napadaču da dobije administratorske privilegije), kao i više propusta u memoriji u NetWeaver Application Server ABAP (CVE-2025-42976, što može dovesti do curenja osjetljivih informacija).
Preostali novi propusti, koji imaju „nizak“ ili „srednji“ prioritet, pogađaju S/4HANA, NetWeaver, ABAP Platform, Cloud Connector i druge proizvode.
Važno je da organizacije instaliraju dostupna ažuriranja, jer nije rijetkost da hakeri iskoriste ranjivosti u SAP proizvodima u svojim napadima.
SAP korisnici su nedavno upozoreni da je propust tipa zero-day u NetWeaveru, zakrpljen u aprilu, iskorišćavan najmanje od januara. Ranjivosti u NetWeaveru su u skorije vrijeme zloupotrebljavale i ransomware grupe i sajber špijuni.
Izvor: SecurityWeek
