SAP выпустила критические исправления для уязвимостей в ключевых продуктах

Компания SAP провела ежемесячный день безопасности 9 сентября 2025 года, выпустив исправления для 21 новой уязвимости в своих продуктах и обновив четыре ранее опубликованных бюллетеня безопасности. Четыре из обнаруженных уязвимостей получили критический уровень опасности, что требует немедленного внимания со стороны организаций, использующих программное обеспечение SAP.

Детали уязвимостей

Выпущенные патчи затрагивают широкий спектр продуктов, включая компоненты NetWeaver, платформы ABAP, системы S/4HANA и модули Business One. Наиболее серьезные уязвимости получили оценку по шкале CVSS (Common Vulnerability Scoring System) 9,0 и выше, что указывает на высокий риск для конфиденциальности, целостности и доступности данных в случае их эксплуатации.

Среди критических уязвимостей выделяется CVE-2025-42944 с максимальным баллом CVSS 10,0, связанная с небезопасной десериализацией в SAP NetWeaver. Уязвимость CVE-2025-42922, также имеющая критический статус, касается небезопасных файловых операций в AS Java и оценена в 9,9 балла. Еще две критические проблемы - CVE-2023-27500 (обход структуры каталогов в платформах ABAP) и CVE-2025-42958 (отсутствие проверки аутентификации в ядрах NetWeaver) - получили 9,6 и 9,1 балла соответственно.

Уязвимости высокой степени серьезности в основном связаны с отсутствием проверки вводимых данных или небезопасным хранением информации. Они затрагивают такие модули, как Business One, репликация S/4HANA и серверы SAP Landscape Transformation. Наиболее значимые из них, CVE-2025-42933, имеет оценку 8,8 балла и связана с небезопасным хранением конфиденциальной информации.

Средний уровень опасности присвоен уязвимостям, которые включают неправильные настройки безопасности, межсайтовый скриптинг (XSS) и отсутствие проверок авторизации в приложениях HCM Fiori, Commerce Cloud и модулях бизнес-планирования. Например, CVE-2025-42920 и CVE-2025-42938, связанные с межсайтовым скриптингом, оцениваются в 6,1 балла.

Две уязвимости низкого уровня серьезности включают CVE-2025-42941, связанную с техникой reverse tabnabbing в launchpad Fiori, и CVE-2025-42927, обусловленную использованием устаревшей версии OpenSSL в сервисах документов Adobe. Также был устранен исторический недостаток в Commerce Cloud (CVE-2024-13009).

SAP настоятельно рекомендует клиентам немедленно обратиться к порталу поддержки и применить соответствующие бюллетени безопасности. Важно отметить, что установка исправлений должна сопровождаться соблюдением рекомендаций по безопасной настройке систем для поддержания надежной защиты.

Корпорация также выразила благодарность исследователям безопасности, которые участвовали в обнаружении и отчетности об уязвимостях. Детальная информация о каждом исправлении, включая версии продуктов и рекомендации по настройке, доступна в соответствующих бюллетенях на портале поддержки SAP.

Регулярное обновление систем и своевременное применение патчей остаются ключевыми мерами для предотвращения потенциальных атак, особенно с учетом того, что злоумышленники часто пытаются эксплуатировать известные уязвимости в программном обеспечении.

Детали уязвимостей

Ссылки