sapnow

SAP Patches des vulnérabilités sévères dans les applications de NetWeaver et Commerce

Lucas Morel

Le fournisseur de logiciels d’entreprise a regroupé 25 correctifs de sécurité dans sa mise à jour de mars, s’attaquant aux défauts qui ont un impact sur les middleware, les interfaces, les applications personnalisées, etc.

SAP a corrigé des vulnérabilités de haute sévérité dans ses packages de logiciels d’entreprise de commerce et de netweaver.

Les mises à jour ont fait partie des 25 correctifs de sécurité publiés mardi pour la dernière édition du cycle de sortie mensuel de SAP.

SAP Security Note # 3563927 aborde une vulnérabilité critique dans la transaction SA38 SAP NetWeaver Application Server ABAP. S’il est exploité avec succès, la vulnérabilité (suivie sous le nom de CVE-2025-26661) accorde l’accès aux fonctions de constructeur de classe qui devraient être limitées à l’ABAP Development Workbench.

La vulnérabilité marque 8,8 sur l’échelle CVSS, bien vers l’extrémité critique du spectre.

SAP NetWeaver Application Server ABAP (AS ABAP) est un composant middleware de la pile logicielle de SAP qui agit comme une base pour de nombreuses applications SAP. La technologie relie l’interaction utilisateur et l’intégration des composants de bureau (couche de présentation), les serveurs d’application ABAP et les serveurs de messages (couche d’application) et les bases de données.

ABAP est la langue propriétaire de SAP.

SAP Security Note # 3569602 Couvre une vulnérabilité de script de sites croisées (XSS) dans SAP Commerce, provenant de bogues de sécurité dans la bibliothèque open source Swagger-UI groupé avec le middleware largement utilisé.

Suivi sous le nom de CVE-2025-27434, la caractéristique Explore Flawed de l’interface utilisateur de Swagger crée un mécanisme potentiel pour un attaquant non authentifié pour injecter du code malveillant à partir de sources distantes à travers une attaque XSS basée sur DOM. Toute victime potentielle devrait d’abord être amenée à placer une charge utile malveillante dans un champ d’entrée, potentiellement via une ruse en ingénierie sociale.

En cas de succès, les attaquants pourraient violer la confidentialité, l’intégrité et la disponibilité de l’application – ce qui a valu à la vulnérabilité un score CVSS élevé de 8,8.

Il est conseillé aux entreprises de triage rapidement la vulnérabilité ou, au minimum, de supprimer toute utilisation de Swagger-UI dans SAP Commerce ou de bloquer l’accès aux consoles de fanfaronniers en tant que travail pour bloquer l’exploitation potentielle.

Une autre mise à jour, SAP Security Note # 3566851, taguée avec un score CVSS de 8,6, implique un déni de service (DOS) et une vulnérabilité de condition d’erreur non contrôlée dans SAP Commerce Cloud.

Le même mise à jour des correctifs Apache Tomcat, une plate-forme pour l’hébergement d’applications Web basées sur Java, implémentant les spécifications Java Servlet et Javaserver (JSP), pour offrir un rattrapage sur les vulnérabilités découverte pour la première fois l’an dernier (CVE-2024-38286 et CVE-2024-52316).

Patchs SAP supplémentaires de note

Vérification d’autorisation manquante dans SAP PDCE FIN-BA (CVE-2024-39592, avec un score CVSS de 7,7) est couvert dans une autre mise à jour de sécurité (SAP Security # 3483344).

Les entreprises qui ont déployé des applications Java personnalisées dans SAP BTP implémentées à l’aide du Spring Framework sont conseillées de consulter SAP Security # 3576540, un avis qui propose des conseils de meilleure pratique.

«Les développeurs utilisent souvent l’activateur Spring Boot, un outil exposant divers points de terminaison URL qui offrent des données d’application en temps réel, en aidant à déboguer et à surveiller», explique un article de blog par les spécialistes de la sécurité des applications en entreprise ONAPSIS. «Cependant, sans mesures de sécurité appropriées, ces paramètres peuvent introduire de graves vulnérabilités.»

La note répertorie les points de terminaison affectés en détail et décrit les conditions détaillées pour les applications affectées.

Un autre bulletin, SAP Security Note # 3567974, contient des conseils mis à jour sur une vulnérabilité du routeur d’applications SAP abordé par le fournisseur de logiciels ERP le mois dernier.

Le reste du lot de patch de mars de SAP adresse les défauts d’impact «médium» et «faible», comme résumé dans le blog d’Onapsis.

Un aperçu complet des correctifs de SAP peut être trouvé sur le site Web du fournisseur.

Longé depuis longtemps comme une boîte noire opaque, les attaquants visent de plus en plus les systèmes d’entreprise de SAP, a révélé des recherches dévoilées lors de la conférence Black Hat de l’année dernière.

La version des correctifs de SAP a coïncidé avec les mises à jour de Microsoft, VMware et autres.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Young Team of Specialists Working on Desktop Computers and Having a Conversation at a Workplace. Female and Male Software Developers Discussing a Solution for Their Artificial Intelligence Project
Les plongées de la base de données de réduction des coûts de Doge offrent des leçons vitales de la cybersécurité dans la sécurité du cloud
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Illinois en ligne Bill Gains Gains Support
Illinois en ligne Bill Gains Gains Support