В компоненте Deploy Web Service платформы SAP NetWeaver AS Java обнаружена критическая уязвимость безопасности, позволяющая аутентифицированным злоумышленникам выполнять произвольный код и получать полный контроль над системой. Уязвимость, получившая идентификатор CVE-2025-42922, представляет значительный риск для организаций, использующих затронутые версии SAP NetWeaver.
Детали уязвимости
Согласно отчету экспертов Redrays, проблема связана с небезопасным механизмом загрузки файлов и недостаточной проверкой контроля доступа в рамках службы развертывания. Основная причина уязвимости заключается в некорректной обработке запросов multipart/form-data без надлежащего применения ролевого управления доступом (RBAC) и проверки типов файлов. Эта брешь в безопасности позволяет пользователям с низкими уровнями привилегий обходить установленные ограничения и загружать вредоносные файлы на сервер.
Атака начинается с получения злоумышленниками учетных данных с ограниченными правами. Это может быть достигнуто с помощью перебора паролей, методов социальной инженерии или эксплуатации других уязвимостей. После успешной аутентификации злоумышленники формируют специальные multipart-запросы, содержащие исполняемые файлы, такие как JSP, WAR или EAR. Служба развертывания принимает эти файлы без должной проверки и сохраняет их в местах, откуда они могут быть выполнены. Последующий вызов загруженных вредоносных файлов приводит к выполнению произвольного кода, что открывает возможности для повышения привилегий, перемещения по сети и извлечения конфиденциальных данных.
SAP выпустила исправление, доступное через Примечание к безопасности № 3643865. Администраторам настоятельно рекомендуется немедленно применить обновление. Перед установкой патча необходимо выполнить анализ зависимостей в соответствии с SAP Note 1974464, чтобы обеспечить совместимость и избежать потенциальных сбоев в работе систем. Для окружений, где немедленное обновление невозможно, SAP предоставляет временное решение, подробно описанное в статье базы знаний (KBA) 3646072.
В качестве дополнительных мер защиты организациям следует ограничить доступ к Deploy Web Service исключительно административным пользователям и внедрить расширенное аудит-логирование для мониторинга подозрительных POST-запросов к конечным точкам развертывания. Важно отслеживать такие индикаторы компрометации (IOC), как HTTP POST-запросы к endpoint’ам DeployWS от пользователей без прав администратора, отправку multipart/form-data с исполняемыми типами файлов, нестандартные шаблоны доступа к URL после операций развертывания, а также действия по деплою в нерабочее время.
Рекомендуется настраивать фильтры обнаружения, отслеживающие запросы к путям, содержащим "DeployWS", от неадминистративных пользователей с типом содержимого multipart/form-data. Также целесообразно провести ретроспективный анализ логов доступа на предмет возможных попыток эксплуатации уязвимости в прошлом.
Обнаружение CVE-2025-42922 в очередной раз подчеркивает важность поддержания строгого контроля доступа и проверки загружаемых файлов в корпоративных приложениях, особенно в сервисах развертывания, которые могут стать точкой входа для получения контроля на уровне всей системы. Своевременное применение исправлений и усиление мониторинга позволяют значительно снизить риски, связанные с данной уязвимостью.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-42922
- https://redrays.io/blog/critical-file-upload-vulnerability-in-sap-netweaver-as-java-deploy-service-cve-2025-42922/
- https://me.sap.com/notes/3643865
- https://url.sap/sapsecuritypatchday
