A SAP publicou novos patches para vulnerabilidades críticas detectadas em seus produtos NetWeaver, Print Service e Supplier Relationship Management (SRM), durante o Security Patch Day de outubro de 2025. Dentre as correções, destaca-se o patch para a falha CVE-2025-42944 (pontuação máxima de 10), que trata de um problema de desserialização insegura no NetWeaver AS Java. Segundo a empresa Onapsis, a SAP implementou proteções adicionais contra esse tipo de vulnerabilidade, incluindo o uso de filtros JVM para impedir a desserialização de classes dedicadas.
Leia também
CSA lança framework de segurança SaaS
Falha crítica em plugin WordPress permite acesso total sem login
Outro ponto crítico foi corrigida através do patch para CVE-2025-42937 (pontuação 9.8), uma vulnerabilidade de travessia de diretório no Print Service que permitiria a descrição de arquivos do sistema por atacantes não autenticados. Já o CVE-2025-42910 (pontuação 9.0) refere-se a uma falha no SRM que possibilitava o upload irrestrito de arquivos, incluindo possíveis maliciosos, por usuários autenticados.
Além das falhas Críticas, foram publicadas correções para vulnerabilidades consideradas de alta gravidade, como o CVE-2025-5115 (negativo de serviço no Commerce Cloud) e CVE-2025-48913 (erro de configuração no Data Hub Integration Suite), além de atualizações para outros problemas de segurança nos principais produtos SAP.
Após a rodada mensal de patches, o comunicado de setembro foi atualizado com novos detalhes e recomendações, reforçando a importância de aplicar rapidamente todas as correções. Embora a SAP não tenha reportado a exploração ativa dessas vulnerabilidades, os usuários são orientados a implementar as atualizações ou quanto antes para garantir a proteção adequada.
