SAP corrigiu três vulnerabilidades críticas em dezembro de 2025 que permitem injeção de código e execução remota de código em componentes centrais como Solution Manager, Commerce Cloud (Tomcat) e jConnect SDK, reforçando a necessidade de patching imediato em ambientes SAP.
Principais falhas críticas
- CVE-2025-42880 – Gerente de Soluções SAP (CVSS 9.9): falha de injeção de código em um módulo remoto (módulo de função habilitado para controle remoto) causada por ausência de validação adequada de entrada, permitindo que um atacante autenticado injete código arbitrário e obtenha controle completo do sistema. Como o SolMan centraliza operações, atualizações e conexões específicas com outros sistemas SAP, uma exploração bem sucedida pode resultar em acesso administrativo a todo o cenário SAP da organização.
- CVE-2025-55754 e CVE-2025-55752 – SAP Commerce Cloud/Apache Tomcat (CVSS 9.6): múltiplas falhas no Tomcat embarcado no Commerce Cloud, previamente divulgadas em outubro e corrigidas nas versões 11.0.11, 10.1.45 e 9.0.109, que podem ser exploradas para RCE em nós de Commerce Cloud. As questões envolvem, entre outros vetores, travessia de caminho em URLs reescritas e manipulação de console/logs, permitindo que hackers remotos executem código no servidor e, especificamente, tomem o controle de instâncias de comércio eletrônico.
- CVE-2025-42928 – SAP jConnect SDK para ASE (CVSS 9.1): Vulnerabilidade de desserialização insegura no jConnect (driver JDBC para SAP ASE) que permite a um invasor enviar objetos especialmente preparados e alcançar RCE no contexto dos aplicativos que usam esse SDK.
Notas de alta e média severidade
Além das três críticas, o patch day de dezembro inclui cinco notas com prioridade “alta”, cobrindo:
- Bugs de negação de serviço (DoS) em componentes como NetWeaver e Business Objects.
- Vazamento de informações no Web Dispatcher e Internet Communication Manager (ICM).
- Corrupção de memória em Web Dispatcher, ICM e Content Server.
- Falta de verificação de autorização em SAP S/4HANA Private Cloud.
Outras seis trata notam falhas de severidade média em NetWeaver, Application Server ABAP, SAPUI5, Enterprise Search for ABAP e BusinessObjects, compondo um total de 14 novas notas de segurança por mês.
Recomendações para clientes SAP
- Aplicar sem demora as notas de segurança de dezembro de 2025 via SAP Security Notes / SNOTE, priorizando as relacionadas a CVE‑2025‑42880, CVE‑2025‑55752/55754 e CVE‑2025‑42928.
- Atualizar a linha de base do Apache Tomcat em ambientes Commerce Cloud para as versões corrigidas (11.0.11, 10.1.45 ou 9.0.109, conforme o stack), revisando configurações de Rewrite Valve, PUT e logs.
- Revise os aplicativos que utilizam o jConnect SDK para ASE, garanta a aplicação dos patches e suporte qualquer caminho que aceite dados serializados controláveis pelo usuário.
Até o momento, SAP e parceiros de segurança informaram não haver evidências públicas de exploração em ambiente real, mas recomendam tratar essas falhas como prioridade devido ao impacto potencial em sistemas centrais de negócios.
