Selon BleepingComputer, SAP a publié son bulletin sécurité de septembre détaillant 21 nouvelles vulnérabilités, dont trois failles critiques affectant principalement SAP NetWeaver. NetWeaver est le socle de multiples apps SAP (ERP, CRM, SRM, SCM) et est largement déployé en entreprise.
-
🔴 CVE-2025-42944 (CVSS 10.0) — Désérialisation non sécurisée dans SAP NetWeaver (RMIP4), ServerCore 7.50. Un attaquant non authentifié peut exécuter des commandes OS arbitraires en envoyant un objet Java malveillant via le module RMI-P4 vers un port ouvert. Le protocole RMI-P4, utilisé par NetWeaver AS Java pour la communication interne SAP-to-SAP ou l’administration, peut être exposé au-delà de l’hôte (voire à Internet) en cas de mauvaise configuration réseau (pare-feu, etc.).
-
🟠 CVE-2025-42922 (CVSS 9.9) — Opérations sur fichiers non sécurisées dans NetWeaver AS Java (Deploy Web Service), J2EE-APPS 7.50. Un attaquant authentifié non administrateur peut exploiter la fonctionnalité de déploiement de web services pour téléverser des fichiers arbitraires, pouvant mener à une compromission complète du système.
-
🟠 CVE-2025-42958 (CVSS 9.1) — Contrôle d’authentification manquant dans NetWeaver. Cette faille permet à des utilisateurs non autorisés mais hautement privilégiés de lire, modifier ou supprimer des données sensibles et d’accéder à des fonctionnalités administratives.
SAP a également corrigé des failles « high severity » :
- CVE-2025-42933 (SAP Business One SLD) — Stockage non sécurisé de données sensibles (ex. identifiants) susceptibles d’être extraites et abusées.
- CVE-2025-42929 (SLT Replication Server) — Validation d’entrée manquante permettant de corrompre/manipuler les données répliquées.
- CVE-2025-42916 (S/4HANA) — Validation d’entrée manquante au sein de composants cœur, avec risques de manipulation non autorisée des données.
Contexte menace : il a été révélé plus tôt ce mois-ci que des acteurs malveillants exploitaient déjà une faille critique d’injection de code CVE-2025-42957 touchant S/4HANA, Business One et NetWeaver. Les administrateurs sont invités à suivre les recommandations de patching et de mitigation publiées pour les trois failles critiques (accès client SAP requis).
IOCs et TTPs : aucun indicateur de compromission ou TTP n’est fourni dans cet extrait.
Type d’article et objectif : patch de sécurité — informer sur les vulnérabilités SAP de septembre et les correctifs associés, en mettant l’accent sur trois failles critiques.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/sap-fixes-maximum-severity-netweaver-command-execution-flaw/