SAP a corrigé deux vulnérabilités critiques affectant NetWeaver web application Server qui pourraient être exploitées pour augmenter les privilèges et accéder à des informations restreintes.

Dans le cadre de la Journée des correctifs de sécurité de janvier, le fournisseur a également publié des mises à jour pour d’autres produits afin de corriger 12 problèmes supplémentaires classés avec une gravité moyenne et élevée.

« SAP recommande vivement au client de visiter le portail d’assistance et d’appliquer des correctifs en priorité pour protéger son environnement SAP”, lit-on dans le bulletin de sécurité de l’entreprise.

Les quatre problèmes de sécurité les plus graves traités par SAP ce mois-ci sont résumés comme suit:

  • CVE-2025-0070, critical severity, score 9.9): Une authentification incorrecte dans SAP NetWeaver Application Server pour ABAP et ABAP Platform permet à un attaquant authentifié d’exploiter des vérifications d’authentification incorrectes, entraînant une augmentation des privilèges et un impact significatif sur la confidentialité, l’intégrité et la disponibilité.
  • CVE-2025-0066, gravité critique, score de 9,9: Une vulnérabilité de divulgation d’informations dans SAP NetWeaver EN ce qui concerne ABAP et la plate-forme ABAP (Internet Communication Framework) se produit en raison de contrôles d’accès faibles, permettant à un attaquant d’accéder à des informations restreintes et compromettant considérablement la confidentialité, l’intégrité et la disponibilité.
  • CVE-2025-0063, gravité élevée, score de 8,8: Une vulnérabilité d’injection SQL dans SAP NetWeaver EN TANT QUE plate-forme ABAP et ABAP résulte d’un manque de vérifications d’autorisation pour certains modules de fonction RFC. Cela permet à un attaquant disposant de privilèges de base de compromettre une base de données Informix, entraînant une perte totale de confidentialité, d’intégrité et de disponibilité.
  • CVE-2025-0061, gravité élevée, score de 8,7: Plusieurs vulnérabilités dans SAP BusinessObjects Business Intelligence Platform permettent à un attaquant non authentifié d’effectuer un détournement de session sur le réseau en raison d’un problème de divulgation d’informations. Cela permet à l’attaquant d’accéder à toutes les données de l’application et de les modifier.

Impact et recommandations
Les produits SAP servent de grandes entreprises dans des secteurs tels que la fabrication, la finance, la vente au détail, la santé et le gouvernement, remplissant des rôles essentiels pour la gestion des opérations commerciales et des relations avec la clientèle.

SAP NetWeaver est une plate-forme centrale pour exécuter des applications ABAP et permettre une communication sécurisée via le cadre de communication Internet. Il est généralement utilisé par les administrateurs informatiques, les développeurs et les consultants dans les entreprises gérant des systèmes ERP pour les finances, les ressources humaines et la chaîne d’approvisionnement.

SAP BusinessObjects est une plate-forme de reporting, d’analyse et de visualisation des données utilisée par les analystes, les décideurs et les équipes informatiques pour obtenir des informations et soutenir les décisions stratégiques.

Dans le passé, les pirates informatiques ont ciblé des produits SAP qui n’avaient pas été mis à jour pour corriger les vulnérabilités connues ou qui étaient mal configurés, exposant les réseaux à des violations.

Le fournisseur allemand recommande vivement aux clients d’appliquer les derniers correctifs disponibles pour protéger leur environnement SAP.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *