A SAP, gigante alemã de software empresarial, emitiu o seu boletim de segurança para setembro, abordando um total de 21 novas vulnerabilidades nos seus produtos. Entre as correções, destacam-se três falhas de severidade crítica que afetam a solução NetWeaver e que podem permitir a atacantes tomar o controlo completo dos sistemas afetados.
O SAP NetWeaver serve como a plataforma base para a maioria das aplicações de negócio da empresa, como sistemas de ERP (Enterprise Resource Planning), CRM (Customer Relationship Management) e SCM (Supply Chain Management), o que torna estas falhas particularmente perigosas.
Três vulnerabilidades com nota máxima de severidade
A falha mais grave, identificada como CVE-2025-42944, recebeu a pontuação máxima de 10 em 10 na escala de severidade. Trata-se de uma vulnerabilidade de desserialização insegura no SAP NetWeaver que pode ser explorada por um atacante não autenticado para executar comandos arbitrários no sistema operativo. Para tal, basta enviar um objeto Java malicioso para uma porta aberta do módulo RMI-P4, o protocolo de comunicação interna da SAP. Embora esta porta deva estar protegida, configurações incorretas de firewalls podem deixá-la exposta à internet, abrindo uma porta de entrada direta para os atacantes.
A segunda vulnerabilidade crítica, CVE-2025-42922, com uma pontuação de 9.9, afeta o serviço de implementação web do NetWeaver AS Java. Esta falha permite que um atacante com acesso autenticado, mesmo sem privilégios de administrador, carregue ficheiros arbitrários para o sistema, o que pode levar a um comprometimento total da plataforma.
Por fim, a terceira falha crítica é a CVE-2025-42958, com uma pontuação de 9.1. Esta vulnerabilidade resulta de uma verificação de autenticação em falta, permitindo que utilizadores não autorizados com privilégios elevados possam ler, modificar ou apagar dados sensíveis, bem como aceder a funcionalidades administrativas.
Outras falhas de alto risco a ter em conta
Para além das três vulnerabilidades críticas, a SAP corrigiu ainda outras falhas de segurança de alta severidade que merecem atenção. Entre elas estão a CVE-2025-42933, que envolve o armazenamento inseguro de dados sensíveis no SAP Business One, e as CVE-2025-42929 e CVE-2025-42916, que se prendem com a falta de validação de dados no SLT Replication Server e no S/4HANA, respetivamente, podendo levar à manipulação não autorizada de informação.
Os produtos da SAP são alvos frequentes de piratas informáticos devido ao seu papel central nas operações de grandes empresas e à natureza crítica dos dados que processam. Recorde-se que, no início deste mês, foi revelado que uma outra falha crítica, a CVE-2025-42957, já estava a ser explorada ativamente em ataques.
Os administradores de sistemas devem aplicar as correções o mais rapidamente possível. As recomendações de mitigação estão detalhadas no boletim de segurança de setembro da SAP, disponível para clientes com uma conta SAP.
Nenhum comentário
Seja o primeiro!