Les vulnérabilités nouvellement divulguées dans l’interface graphique SAP pour Windows et Java stockent les données des utilisateurs avec des risques de conformité et de violation de la conformité et non de la conformité pour les entreprises.
SAP GUI, une interface de confiance pour des centaines de milliers d’entreprises mondiales, s’est avérée stocker des données d’utilisateurs sensibles avec un chiffrement obsolète, permettant potentiellement les violations de données.
Selon le chercheur de Pathlock, Jonathan Stross et Julian Petersohn de Fortinet, quelques vulnérabilités de divulgation d’informations affectent la fonction d’historique des entrées utilisateur du produit dans ses versions Windows (CVE-2025-0055) et Java (CVE-2025-0056).
Les vulnérabilités nouvellement révélées affectent la façon dont les données intentées par l’utilisateur comme les noms d’utilisateur, les ID nationaux et les numéros de compte bancaire sont stockés localement, non cryptés ou protégés par une clé XOR faible et réutilisable.
«CVE-2025-0055 et CVE-2025-0056 représentent tous deux un risque organisationnel important résultant de pratiques de stockage de données locales sans sécurité», a déclaré Mayuresh Dani, responsable de la recherche sur la sécurité chez Qualits. «Même si les champs de mot de passe sont exclus de l’historique des entrées de SAP GUI, la portée des données sensibles exposées auxquelles un acteur de menace peut accéder est étendue.»
SAP, en coordination avec l’équipe Pathlock, a émis silencieusement des correctifs de sécurité et des étapes d’atténuation pertinents en janvier 2025, accessibles uniquement aux clients SAP GUI.
Le cryptage XOR faible est exploitable
Au cœur du CVE-2025-0055 se trouve une simple défaillance de cryptage. SAP GUI pour Windows Stash Les valeurs précédemment entrées, telles que les ID utilisateur ou les SSN, dans un fichier de base de données SQLite local à l’aide de cryptage exclusif ou (XOR). Cependant, le chiffrement utilise la même clé statique pour chaque entrée, et une seule valeur connue est suffisante pour décrypter le reste.
« Les entrées sont enregistrées dans un fichier de base de données SQLite3 (Saphistory
Le CVE-2025-0056 a révélé une approche uniforme de laxiste dans l’interface graphique SAP pour Java, où les données historiques sont stockées complètement non cryptées. Cela signifie que les objets Java sérialisés contenant des entrées d’utilisateurs sensibles peuvent être librement accessibles par quiconque peut accéder à la machine.
Le problème est beaucoup plus important pour les clients Java, selon Jason Soroko, chercheur principal chez Sectigo. « La même histoire est écrite dans des dossiers spécifiques à la plate-forme comme des objets Java simples et sérialisés – pas de cryptage du tout », a-t-il déclaré. «Quiconque accédez à un accès local ou à distance à un système de fichiers à un ordinateur portable volé, un poste de travail compromis ou à un simple degrés de phishing peut récolter les fichiers historiques pour accélérer le mouvement latéral, un artisanat convaincant la lance de lance ou des données Amass qui déclenchent les violations de la conformité.»
Pathlok a également averti que malgré une note CVSS moyenne de 6 sur 10, les défauts pourraient entraîner des problèmes de conformité, citant les risques de défaillances d’audit sous RGPD, PCI DSS ou HIPAA. SAP n’a pas répondu aux questions à ce sujet.
L’impact pourrait être beaucoup plus grand
Dani a noté qu’une violation par ces vulnérabilités peut faciliter d’autres attaques ciblées. «Ne sapant pas le fait que ces données extraites offrent aux attaquants suffisamment de poudre à canon pour les activités de reconnaissance, un acteur de menace pourrait comprendre la structure organisationnelle, les modèles d’utilisation et les configurations du système à partir de l’exploitation de ces vulnérabilités et de les armer pour des attaques de personnalisation telles que Dani, a déclaré Dani.
La recherche Pathlock a également conduit à la découverte d’une faille connexe dans SAP Netweaver en tant qu’ABAP, suivie comme CVE-2025-0059, affectant l’interface graphique SAP pour HTML résultant du même problème sous-jacent. Bien que SAP n’ait pas encore corrigé cette variante, Pathlock craint que le correctif ne soit pas une solution permanente à ces problèmes.
Selon Stross, les mécanismes de secours peuvent potentiellement saper les versions mises à jour publiées par SAP avec un chiffrement plus fort – GUI SAP pour Windows 8.00 Patch Level 9+ et SAP GUI pour Java 7.80 PL9 + ou 8.10, ce qui les rend inefficaces.
Pathlock recommande entièrement l’historique des entrées pour atténuer définitivement le risque.
