SAP corrigiu três vulnerabilidades críticas em dezembro de 2025 que permitem code injection e execução remota de código em componentes centrais como Solution Manager, Commerce Cloud (Tomcat) e jConnect SDK, reforçando a necessidade de patching imediato em ambientes SAP.
Principais falhas críticas
- CVE-2025-42880 – SAP Solution Manager (CVSS 9,9): falha de code injection em um módulo remoto (remote-enabled function module) causada por ausência de validação adequada de entrada, permitindo que um atacante autenticado injete código arbitrário e obtenha controle completo do sistema. Como o SolMan centraliza operações, updates e conexões confiáveis com outros sistemas SAP, uma exploração bem‑sucedida pode resultar em acesso administrativo a toda a landscape SAP da organização.
- CVE-2025-55754 e CVE-2025-55752 – SAP Commerce Cloud / Apache Tomcat (CVSS 9,6): múltiplas falhas no Tomcat embarcado no Commerce Cloud, previamente divulgadas em outubro e corrigidas nas versões 11.0.11, 10.1.45 e 9.0.109, que podem ser exploradas para RCE em nós de Commerce Cloud. As issues envolvem, entre outros vetores, path traversal em URLs reescritas e manipulação de console/logs, permitindo a atacantes remotos executar código no servidor e potencialmente tomar o controle de instâncias de e‑commerce.
- CVE-2025-42928 – SAP jConnect SDK para ASE (CVSS 9,1): vulnerabilidade de desserialização insegura no jConnect (driver JDBC para SAP ASE) que permite a um invasor enviar objetos especialmente preparados e alcançar RCE no contexto dos aplicativos que usam esse SDK.
Notas de alta e média severidade
Além das três críticas, o patch day de dezembro inclui cinco notas com prioridade “alta”, cobrindo:
- Bugs de negação de serviço (DoS) em componentes como NetWeaver e Business Objects.
- Vazamento de informação em Web Dispatcher e Internet Communication Manager (ICM).
- Corrupção de memória em Web Dispatcher, ICM e Content Server.
- Falta de verificação de autorização em SAP S/4HANA Private Cloud.
Outras seis notas tratam falhas de severidade média em NetWeaver, Application Server ABAP, SAPUI5, Enterprise Search for ABAP e BusinessObjects, compondo um total de 14 novas notas de segurança no mês.
Recomendações para clientes SAP
- Aplicar sem demora as notas de segurança de dezembro de 2025 via SAP Security Notes / SNOTE, priorizando as relacionadas a CVE‑2025‑42880, CVE‑2025‑55752/55754 e CVE‑2025‑42928.
- Atualizar o baseline do Apache Tomcat em ambientes Commerce Cloud para as versões corrigidas (11.0.11, 10.1.45 ou 9.0.109, conforme o stack), revisando configurações de Rewrite Valve, PUT e logs.
- Revisar aplicações que utilizam jConnect SDK para ASE, garantir aplicação dos patches e endurecer qualquer caminho que aceite dados serializados controláveis pelo usuário.
Até o momento, SAP e parceiros de segurança informam não haver evidências públicas de exploração em ambiente real, mas recomendam tratar essas falhas como prioridade devido ao impacto potencial em sistemas centrais de negócios.






