A SAP emitiu nesta teça, 9/9, um alerta de segurança sobre falhas graves em seus produtos corporativos, incluindo uma vulnerabilidade classificada com a nota máxima de severidade (10 em 10) no NetWeaver, plataforma que serve de base para diversas aplicações empresariais da companhia.
A falha, registrada como CVE-2025-42944, permite que atacantes não autenticados executem comandos remotamente por meio do envio de códigos maliciosos a uma porta aberta. O problema decorre de uma vulnerabilidade de deserialization, processo que pode ser explorado para comprometer sistemas sem exigir interação do usuário.
“Devido a uma vulnerabilidade de desserialização no SAP NetWeaver, um invasor não autenticado poderia explorar o sistema por meio do módulo RMI-P4, enviando cargas maliciosas a uma porta aberta. A desserialização desses objetos Java não confiáveis poderia levar à execução arbitrária de comandos no sistema operacional, representando um alto impacto para a confidencialidade, integridade e disponibilidade da aplicação”, alertou a SAP.
Além dela, a SAP revelou outras três vulnerabilidades de alta gravidade no NetWeaver, com pontuações de 9,9, 9,6 e 9,1. No mesmo comunicado, a empresa detalhou correções para falhas em uma série de produtos usados globalmente, como SAP Business One, Commerce Cloud, Business Planning and Consolidation, BusinessObjects BI e Fiori, com notas que variam entre 3,1 e 8,8.
O anúncio vem dias após a empresa de cibersegurança SecurityBridge relatar que uma vulnerabilidade corrigida no mês passado já está sendo explorada por criminosos digitais. Essa falha, identificada como CVE-2025-42957 e avaliada em 9,9 pontos, afeta o S/4HANA, principal suíte de ERP da SAP. Segundo a empresa, a brecha permite que usuários com credenciais básicas escalem privilégios e assumam controle total do ambiente, expondo sistemas a riscos de fraude, espionagem e até instalação de ransomware.
A própria SAP alertou que a exploração dessa vulnerabilidade funciona como uma “porta dos fundos”, colocando em risco a confidencialidade, integridade e disponibilidade dos sistemas.
