El martes, SAP publicó una actualización de seguridad para abordar múltiples fallas de seguridad, incluidas tres vulnerabilidades críticas en SAP Netweaver.
Las vulnerabilidades se enumeran a continuación –
CVE-2025-42944 (puntaje CVSS: 10.0)-La vulnerabilidad de desgasificación de SAP NetWeaver permite a los atacantes no autorizados enviar cargas útiles maliciosas a los puertos abiertos a través de los módulos RMI-P4 y ejecutar los comandos del sistema operativo CVE-2025-42922 (CVSSS: 9.9)-NETWEAVE como Java, que permite los atacantes de los ataques ATTATENTICATIONES ATATENTADOS, que permite los atacantes. Los usuarios cargarán cualquier archivo CVE-2025-42958 (puntaje CVSS: 9.1), carece de la falta de vulnerabilidad en la aplicación SAP Netweaver en la serie IBM I que permite a los usuarios leer a los usuarios confidenciales de muy buenos usuarios. Características privilegiadas
«(CVE-2025-42944) permite a los atacantes no autorizados ejecutar comandos arbitrarios del sistema operativo enviando cargas útiles maliciosas para abrir puertos», dijo Onapsis. «Una exploit exitosa puede conducir a un compromiso completo en la aplicación. Como una solución temporal, los clientes deben agregar filtrado del puerto P4 a nivel ICM para evitar que los hosts desconocidos se conecten al puerto P4».
Además, lo que se está abordando en SAP es un error avanzado de verificación de entrada faltante en SAP S/4HANA (CVE-2025-42916, puntaje CVSS: 8.1).
El parche llegó días después de que SecurityBridge y Pathlock revelaron que los defectos de seguridad graves de SAP S/4HANA (CVE-2025-42957, CVSS SCUENT: 9.9) que fueron fijados por la compañía el mes pasado se sometieron a una explotación activa en la naturaleza.
No hay evidencia de que los problemas recién revelados hayan sido armados por malos actores, pero es esencial que los usuarios se muevan para aplicar las actualizaciones necesarias lo antes posible para una protección óptima.
Source link
