Az SAP a 2025 augusztusi „Patch Tuesday” keretében 15 új biztonsági frissítést publikált, köztük kritikus besorolású sérülékenységekre vonatkozó javításokkal.
Az Onapsis egy vállalati alkalmazások biztonságára szakosodott cég, amely gyakran tár fel SAP-termékekben található sérülékenységeket, kiemelte, hogy az előző „Patch Tuesday” óta összesen 26 új és frissített javítást adott ki a gyártó. Ezen 26 javítás közül négyet kritikus besorolással láttak el — kettő új, kettő pedig korábbi javítás frissítése. Az új kritikus javítások a CVE-2025-42950 és CVE-2025-42957 azonosítókkal rendelkező sérülékenységeket orvosolják, amelyeket kódbefecskendezési (code injection) hibaként írtak le. Az Onapsis szerint ezek a hibák tetszőleges kód végrehajtására használhatók ki, ami teljes rendszerkompromittációhoz vezethet.
A CVE-2025-42950 és a CVE-2025-42957 ugyanazon sérülékenység, azonban külön CVE-azonosítókat rendeltek a különböző termékekhez. A CVE-2025-42957 az S/4HANA vállalatirányítási (ERP) rendszerre vonatkozik, míg a CVE-2025-42950 az ERP-szoftver régebbi generációjára, az ERP Central Componentre (ECC).
Az új, magas prioritású javítások között szerepel egy hibás jogosultságkezelési probléma az SAP Business One-ban (CVE-2025-42951, amely lehetővé teszi egy hitelesített támadó számára, hogy adminisztrátori jogosultságot szerezzen), valamint több memóriakezelési hiba a NetWeaver Application Server ABAP modulban (CVE-2025-42976, amely érzékeny információk kiszivárgásához vezethet).
A fennmaradó új hibák, amelyek „alacsony” vagy „közepes” prioritású besorolást kaptak, az S/4HANA-t, a NetWeaver-t, az ABAP Platformot, a Cloud Connector-t és más termékeket érintik.
Kiemelten fontos, hogy a szervezetek telepítsék a rendelkezésre álló frissítéseket, mivel nem ritka, hogy fenyegető szereplők aktívan kihasználják az SAP-termékek sérülékenységeit támadásaik során. A közelmúltban az SAP ügyfeleit figyelmeztették, hogy egy, a NetWeaver-ben található nulladik napi (zero-day) sérülékenységet, amelyet áprilisban javítottak, már január óta aktívan kihasználtak. A NetWeaver sebezhetőségeit az utóbbi időben zsarolóvírus-csoportok és kiberkémek is célba vették.