- A atualização de dezembro da SAP corrigiu 14 bugs, incluindo três vulnerabilidades críticas nos principais produtos
- CVE-2025-42880 (9.9) no SAP Solution Manager permite injeção de código e comprometimento de todo o sistema
- CVE-2025-55754 (9.6) no Apache Tomcat e CVE-2025-42928 (9.1) no SAP jConnect permitem a execução remota de código sob certas condições
A SAP lançou a atualização de segurança cumulativa de dezembro, que corrige 14 vulnerabilidades encontradas em diferentes produtos. Estes incluem três bugs de gravidade crítica que devem ser resolvidos sem demora.
Uma lista completa de vulnerabilidades abordadas pode ser encontrada neste link.
O bug mais sério corrigido desta vez é uma vulnerabilidade de injeção de código encontrada no SAP Solution Manager ST 720, um nível de pilha específico de pacotes de suporte para SAP Solution Manager 7.2 que fornece ferramentas atualizadas para gerenciamento do ciclo de vida de aplicativos, monitoramento de sistema e gerenciamento de serviços de TI.
SAP Ecommerce Cloud afetado
O bug permanece como CVE-2025-42880 e recebeu uma pontuação de gravidade de 9,9/10 (crítico).
“Devido à falta de saneamento de entrada, o SAP Solution Manager permite que um invasor autenticado injete código malicioso ao chamar um módulo de função habilitado remotamente”, explica o log do CVE. “Isso poderia dar ao invasor o controle completo do sistema, o que terá um impacto significativo na confidencialidade, integridade e disponibilidade do sistema”.
O segundo maior bug é a neutralização inadequada de erros de escape, meta ou sequência de controle do Apache Tomcat, que afeta os componentes do SAP Commerce Cloud. Permanece como CVE-2025-55754 e tem uma pontuação de gravidade de 9,6/10 (crítica).
“O Tomcat não escapou das sequências de escape ANSI nas mensagens de log”, diz a página do CVE. “Se o Tomcat estivesse sendo executado em um console em um sistema operacional Windows e o console suportasse sequências de escape ANSI, seria possível que um invasor usasse uma URL especialmente criada para injetar sequências de escape ANSI para manipular o console e a área de transferência e tentar enganar um administrador para que execute um comando controlado pelo invasor.”
O comunicado também afirma que não existem vetores de ataque conhecidos, mas este ataque pode ser montado em outros sistemas operacionais.
A terceira é uma falha de desserialização no SAP jConnect que permite que usuários altamente privilegiados executem códigos maliciosos remotamente, mas somente quando condições específicas forem atendidas. Este bug permanece CVE-2025-42928 e recebeu uma pontuação de gravidade de 9,1/10 (crítico).
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
