SolarWinds é vendida por US$ 4,4 bilhões

CISA publica sete alertas para sistemas de controle industrial

PayPal é multado por ter exposto dados de clientes em 2022

Arquivo Nacional sofre ataque na página do Prêmio Memórias Reveladas

Fundador do marketplace Silk Road é perdoado de prisão perpétua

TikTok sai do ar no EUA por decisão judicial

[ 161,299 page views, 63,350 usuários nos últimos 30 dias ] - [ 6.103 assinantes na newsletter, taxa de abertura 27% ]
Pesquisar
Image by Mohamed Hassan from Pixabay
Risco Iminente

SAP corrige falha de gravidade elevadíssima

A SAP publicou 20 notas de segurança no seu Security Patch Day de abril de 2025, incluindo três que tratam de vulnerabilidades críticas relacionadas à injeção de código e ao desvio de autenticação. Ao todo, foram publicadas 18 novas notas e duas atualizações. As falhas mais graves, registradas como CVE-2025-27429 e CVE-2025-31330 (pontuação CVSS de 9,9), afetam o S/4HANA (Nuvem Privada) e o Landscape Transformation (Plataforma de Análise). Segundo a empresa de segurança Onapsis, especializada em segurança de aplicações SAP, ambas as falhas se referem ao mesmo problema, de modo que a SAP desabilitou o mesmo módulo de função vulnerável em ambos os produtos.

Leia também
Simulação leva LLMs a criarem jailbreaks
ReliaQuest recebe investimento de US$ 500 milhões

Esse módulo aceita qualquer texto como parâmetro e gera um relatório ABAP com base na entrada, utilizando a instrução INSERT REPORT. Para a exploração ser bem-sucedida, basta que o invasor possua autorização S_RFC no módulo ou grupo de funções correspondente.

Outra vulnerabilidade crítica, rastreada como CVE-2025-30016 (pontuação CVSS de 9,8), é um problema de desvio de autenticação no módulo Financial Consolidation. Ela permite que um invasor não autenticado se passe por um usuário com privilégios administrativos.

Entre as outras notas do mês, cinco tratam de falhas de alta gravidade. Uma delas corrige uma autorização inadequada no BusinessObjects Business Intelligence. Também foram publicadas atualizações para o NetWeaver Application Server ABAP, o Commerce Cloud e o módulo de Capital Yield Tax Management.

No caso do Commerce Cloud, a condição de corrida identificada no Apache Tomcat só pode ser explorada em circunstâncias específicas, que não estão habilitadas por padrão.

Outros dez problemas de gravidade média e um de baixa gravidade também foram resolvidos em módulos como ERP BW Business Content, KMC WPC, Solution Manager, S4CORE entity e S/4HANA.

Apesar de não haver indícios de que as falhas estejam sendo ativamente exploradas, a SAP orienta que os clientes apliquem os patches com urgência.

Posts Patrocinados

Últimas notícias

Assine a nossa Newsletter

Cancelar Inscrição

Assine a nossa Newsletter

Cancelar Inscrição