A SAP acaba de lançar o seu pacote de atualizações de segurança para novembro de 2025, e a lista inclui correções para múltiplas vulnerabilidades. O destaque vai para duas falhas particularmente graves: uma com a pontuação máxima de severidade (10.0) e outra classificada como 9.9, que afetam componentes críticos usados por empresas em todo o mundo.
Falha de credenciais codificadas (10.0)
O problema mais grave, identificado como CVE-2025-42890, recebeu a pontuação máxima de 10.0. Esta falha reside no SQL Anywhere Monitor (especificamente na sua variante não-GUI). Segundo a descrição, a ferramenta tinha credenciais "cozinhadas" diretamente no código (hardcoded), expondo recursos a utilizadores não intencionais.
Um atacante que obtenha estas credenciais pode usá-las para aceder a funções administrativas e, em última instância, executar código arbitrário. O SQL Anywhere Monitor é usado para monitorizar bases de dados distribuídas ou remotas, e a sua versão não-GUI é frequentemente implementada em equipamentos que funcionam sem supervisão humana regular, o que agrava o risco.
Injeção de código crítico (9.9)
Logo a seguir, temos a vulnerabilidade CVE-2025-42887, com uma severidade de 9.9. Esta afeta o SAP Solution Manager, uma plataforma usada para a gestão do ciclo de vida das aplicações (ALM). O problema deve-se a uma "falta de saneamento de inputs", permitindo que um atacante autenticado insira código malicioso ao chamar um módulo de função remoto.
Na prática, isto pode dar ao atacante controlo total sobre o sistema, com um impacto elevado na confidencialidade, integridade e disponibilidade dos dados. Esta plataforma é central em grandes empresas que gerem redes complexas de soluções ERP, CRM e analytics.
Outras correções e o conselho habitual
O pacote de segurança de novembro de 2025 não se fica por aqui. A SAP corrigiu ainda uma outra falha de alta severidade (CVE-2025-42940) e 14 vulnerabilidades consideradas de severidade média. A gigante alemã de software lançou também atualizações para uma falha crítica anterior no NetWeaver (CVE-2025-42944), que tinha sido abordada no mês passado.
Os produtos SAP são alvos frequentes de ciberataques, dado que gerem dados críticos para o funcionamento das maiores empresas do mundo. Embora, para já, não tenha sido detetada exploração ativa destas duas novas falhas críticas, os administradores de sistema são aconselhados a aplicar as atualizações o mais rapidamente possível.
Nenhum comentário
Seja o primeiro!