SAP dicht kritieke kwetsbaarheden in NetWeaver, SQL Anywhere Monitor en Solution Manager

In dit artikel:

SAP heeft recent patches uitgebracht voor meerdere kwetsbaarheden in haar software, waarvan drie als kritiek worden aangemerkt. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat deze lekken kunnen worden misbruikt om onbevoegde toegang te krijgen, schadelijke code uit te voeren of gevoelige data te onthullen. De ernstigste kwetsbaarheid (CVE‑2025‑42944) treft SAP NetWeaver: een deserialisatieprobleem waarmee op afstand en zonder authenticatie willekeurige code kan worden uitgevoerd. Ook SQL Anywhere Monitor is kritisch beoordeeld (zelfde CVE‑melding in het bericht): in de software zijn hardcoded inloggegevens aangetroffen die aanvallers kunnen gebruiken om toegang te krijgen en code uit te voeren. Een derde kritisch lek zit in SAP Solution Manager (CVE‑2025‑42887) en maakt injectie van malafide code mogelijk, waardoor volledige controle over het systeem kan ontstaan.

Organisaties met deze SAP-componenten worden dringend geadviseerd de updates onmiddellijk te installeren en de richtlijnen van het NCSC te volgen. Extra mitigaties zijn onder meer het beperken van netwerktoegang tot beheerinterfaces, het verwijderen of vervangen van hardcoded credentials, het monitoren van logs op verdachte activiteiten en het toepassen van compenserende controles zolang niet-patched systemen nog online zijn.