A SAP lançou 21 novas notas de segurança e atualizou três já publicadas, abordando vulnerabilidades críticas no Commerce, NetWeaver e Commerce Cloud. Entre os problemas mais graves estão as CVE-2025-27434 e CVE-2025-26661, com pontuação CVSS de 8,8, relacionadas a um bug de script entre sites (XSS) e a uma falta de verificação de autorização.
Leia também
A proteção na Internet das Coisas Médicas
Plugin de engenharia reversa da Kaspersky em open source
O bug de XSS afeta a biblioteca Swagger UI e pode permitir a injeção de código malicioso, enquanto a falha no NetWeaver dá acesso a funcionalidades restritas. Além disso, foram corrigidas vulnerabilidades no Apache Tomcat no Commerce Cloud, que poderiam causar negação de serviço (DoS) ou permitir a evasão de autenticação.
As notas de segurança atualizadas tratam de um bypass de autenticação no Approuter e uma falha de verificação de autorização no PDCE. Também foram lançadas 15 correções de média prioridade para diversos produtos da SAP, como NetWeaver, Business Warehouse e S/4HANA, além de cinco notas de baixa prioridade, incluindo uma recomendação para proteger aplicativos Java no SAP BTP implementados com Spring Framework.
A SAP recomenda a aplicação imediata das atualizações para mitigar riscos de exploração dessas vulnerabilidades.
