SAP dicht ernstige kwetsbaarheden in SAP NetWeaver

In dit artikel:

SAP heeft tijdens de recentste Security Patch Day meerdere beveiligingslekken in zijn software gesloten, waaronder drie kritieke fouten in SAP NetWeaver. Het ernstigste lek is een deserialisatieprobleem (CVE-2025-42944) met een CVSS-score van 10.0; daarmee kunnen aanvallers via de RMI‑P4-module malafide payloads naar een open poort sturen en het systeem overnemen. Een tweede kritiek probleem (CVE-2025-42922, CVSS 9.9) betreft onveilige verwerking van bestanden in SAP NetWeaver AS Java, waardoor kwaadwillenden zonder beheerdersrechten bestanden kunnen uploaden en mogelijk kwaadaardige code laten uitvoeren. Het derde grote lek (CVE-2025-42958, CVSS 9.1) ontbreekt aan authenticatiecontroles, wat ongeautoriseerde toegang tot gevoelige data en beheerdersfuncties mogelijk maakt.

Daarnaast zijn er meerdere hoog-risico kwetsbaarheden verholpen in producten als SAP Business One, SAP Landscape Transformation Replication Server en SAP S/4HANA. Organisaties die SAP draaien wordt dringend aangeraden de updates zo snel mogelijk te installeren en netwerktoegang tot kritieke poorten te beperken. Een compleet overzicht van alle gepatchte CVE’s is via de patchbulletin van SAP beschikbaar.