A SAP, fabricante de software empresarial, divulgou nove novas notas de segurança e atualizou outras quatro como parte de seu Security Patch Day de dezembro de 2024. Entre as atualizações, destaca-se uma vulnerabilidade crítica no NetWeaver AS para JAVA (Adobe Document Services), rastreada como CVE-2024-47578, com uma pontuação CVSS de 9,1, que representa a maior severidade deste ciclo.
Leia também
Jornalista processa Shopee após falhas em transações
Cai volumetria de ataques de negação de serviço
Essa falha crítica pode permitir que invasores com privilégios administrativos enviem solicitações elaboradas a partir de aplicativos vulneráveis, resultando em uma exploração do tipo Server-Side Request Forgery (SSRF). Em caso de sucesso, os invasores podem acessar ou modificar arquivos no sistema ou mesmo tornar o sistema completamente indisponível. Como o componente afetado é frequentemente usado em sistemas internos protegidos por firewalls, isso aumenta o impacto potencial da vulnerabilidade.
Além disso, a SAP corrigiu duas vulnerabilidades de gravidade média, CVE-2024-47579 e CVE-2024-47580, que permitem a leitura de arquivos no servidor, embora também requeiram privilégios administrativos para exploração.
Entre outras notas importantes, está a correção do CVE-2024-54198, uma falha de alta prioridade no NetWeaver que pode expor credenciais de serviço confidenciais por meio de solicitações manipuladas de Chamada de Função Remota (RFC). Segundo a Onapsis, essa vulnerabilidade pode levar ao comprometimento total de serviços remotos visados.
A SAP também resolveu outra vulnerabilidade SSRF de alta gravidade no NetWeaver e atualizou notas de alta prioridade de novembro de 2024, incluindo um problema de script entre sites (XSS) no Web Dispatcher e uma falha de desreferência de ponteiro NULL no NetWeaver.
Além das correções críticas e de alta prioridade, o patch incluiu soluções para vulnerabilidades de gravidade média e baixa nos componentes NetWeaver, BusinessObjects, HCM, Product Lifecycle Costing e Commerce Cloud.
Embora não haja relatos de exploração ativa dessas vulnerabilidades, a SAP recomenda que os usuários apliquem as correções imediatamente para minimizar riscos de segurança.