W dniu 14 października 2025 roku SAP oficjalnie opublikowało pakiet 17 (13 nowych i 4 aktualizacje do już istniejących) not bezpieczeństwa w ramach comiesięcznego cyklu SAP Security Patch Day, obejmujący podatności o zróżnicowanym poziomie krytyczności – od maksymalnego CVSS 10.0 do niższych kategorii zagrożeń. Obecne wydanie zawiera cztery luki klasyfikowane jako krytyczne oraz dwie o wysokim priorytecie, które wymagają niezwłocznej implementacji przez zespoły administracyjne odpowiedzialne za środowiska SAP.
Szczególną uwagę należy zwrócić na podatności dotyczące komponentów SAP NetWeaver AS Java, gdzie zidentyfikowano dwie krytyczne luki związane z niebezpieczną deserializacją obiektów – CVE-2025-42944 oraz aktualizację noty SAP 3634501. Obie podatności charakteryzują się maksymalną oceną CVSS 10.0 i umożliwiają nieuwierzytelnionemu atakującemu zdalne wykonanie kodu na poziomie systemu operacyjnego. Należy zwrócić uwagę, że podatność CVE-2025-42944 otrzymała nową wersję poprawki w systamach AS JAVA względem poprzedniego miesiąca
Dodatkową kategorie stanowią podatności w SAP Print Service (CVE-2025-42937) oraz SAP Supplier Relationship Management (CVE-2025-42910), które mimo niższych ocen CVSS (odpowiednio 9.8 i 9.0) nadal wymagają priorytetowego traktowania ze względu na potencjał kompromitacji systemu.
Przedstawiona poniżej analiza obejmuje szczegółowy przegląd wszystkich publikowanych not bezpieczeństwa z uwzględnieniem mechanizmów eksploitacji, rekomendowanych działań naprawczych oraz dostępnych obejść tymczasowych dla luk krytycznych i wysokich. Dokumentacja została przygotowana w celu wsparcia decyzji dotyczących priorytetyzacji procesu aktualizacji w środowiskach produkcyjnych SAP.
Priorytet krytyczny
Nota SAP: 3660659
Tytuł: Security Hardening for Insecure Deserialization in SAP NetWeaver AS Java
CVE: CVE-2025-42944
Produkt: SAP NetWeaver AS Java
Wersja: SERVERCORE 7.50
Priorytet: Critical
CVSS: 10.0
Przyczyny
Przyczyną problemu jest niebezpieczna deserializacja obiektów JDK oraz klas zewnętrznych dostawców, która nie jest domyślnie ograniczona w SAP NetWeaver AS Java. System staje się podatny na zdalne wykonanie kodu, gdy specjalnie przygotowane dane są deserializowane przez środowisko uruchomieniowe AS Java.
Rekomendacja rozwiązania problemu
Aby rozwiązać ten problem należy zastosować patch zabezpieczający, który blokuje niebezpieczne klasy JDK i zewnętrznych dostawców w SAP NetWeaver AS Java. System należy zaktualizować do najnowszej dostępnej łatki dla wersji SERVERCORE 7.50 – patch zawiera konfiguracyjną poprawkę zapobiegającą niebezpiecznej deserializacji w środowisku uruchomieniowym SAP NetWeaver AS Java.
Nota SAP: 3634501 (Update)
Tytuł: Update – Insecure Deserialization vulnerability in SAP Netweaver (RMI-P4)
Produkt: SAP NetWeaver AS Java
Wersja: SERVERCORE 7.50
Priorytet: Critical
CVSS: 10.0
Przyczyny
Źródłem problemu jest wadliwa obsługa deserializacji szkodliwych obiektów Java w komponencie RMI-P4 platformy SAP NetWeaver. Atak może zostać przeprowadzony przez osobę trzecią bez uwierzytelnienia poprzez transmisję celowo spreparowanego kodu do dostępnego portu sieciowego, co skutkuje możliwością uruchomienia komend na poziomie systemu operacyjnego przy jednoczesnym narażeniu poufności, spójności oraz ciągłości działania aplikacji.
Rozwiązanie problemu:
Problem został rozwiązany poprzez aktualizację komponentu P4-Lib w celu wymuszenia bezpiecznej obsługi deserializacji i ograniczenia akceptacji niezaufanych obiektów Java przez moduł RMI-P4. System należy zaktualizować do najnowszej łatki dla wersji SERVERCORE 7.50.
Obejście problemu (tymczasowe): Na poziomie sieciowym należy wyizolować porty P4/P4S, tak aby nie były dostępne z zewnętrznej sieci.
Nota SAP: 3630595
Tytuł: Directory Traversal vulnerability in SAP Print Service
CVE: CVE-2025-42937
Produkt: SAP Print Service
Wersja: SAPSPRINT 8.00, 8.10
Priorytet: Critical
CVSS: 9.8
Przyczyny:
Przyczyną problemu jest niewystarczająca walidacja informacji o ścieżkach dostępu wprowadzanych przez użytkowników w SAP Print Service (SAPSprint). Brak kontroli umożliwia nieuwierzytelnionemu atakującemu dostęp do katalogów nadrzędnych oraz potencjalne nadpisywanie plików systemowych.
Rozwiązanie problemu:
Jedynym skutecznym rozwiązaniem jest zastosowanie oficjalnej poprawki SAP – wymagana jest aktualizacja do najnowszej dostępnej wersji dla komponentów SAPSPRINT 8.00 i 8.10. W tym wypadku nie można zastosować obejścia.
Nota SAP: 3647332
Tytuł: Unrestricted File Upload Vulnerability in SAP Supplier Relationship Management
CVE: CVE-2025-42910
Produkt: SAP Supplier Relationship Management
Wersja: SRMNXP01 100, 150
Priority: Critical
CVSS: 9.0
Przyczyny:
Przyczyną problemu jest brak weryfikacji typu lub zawartości przesyłanych plików w systemie SAP Supplier Relationship Management, co umożliwia atakującemu przesyłanie dowolnych plików, w tym plików wykonywalnych zawierających potencjalny malware, które mogą zostać pobrane i uruchomione przez użytkowników systemu.
Rozwiązanie problemu:
Jedynym dostępnym rozwiązaniem jest implementacja noty SAP: 3647332 – [CVE-2025-42910] Unrestricted File Upload Vulnerability in SAP Supplier Relationship Management
Priorytet wysoki
Nota SAP: 3664466
Tytuł: Denial of service (DOS) in SAP Commerce Cloud (Search and Navigation)
CVE: CVE-2025-5115
Produkt: SAP Commerce Cloud
Wersja: HY_COM 2205, COM_CLOUD 2211, 2211-JDK21
Priorytet: High
CVSS: 7.5
Przyczyna:
Przyczyną problemu jest wykorzystanie podatnej wersji serwera Jetty w komponencie Search and Navigation systemu SAP Commerce Cloud, która umożliwia złośliwym klientom wysyłanie nieprawidłowych ramek HTTP/2 prowadzących do potencjalnego resetowania strumieni i nadmiernego zużywania zasobów serwera w krótkim czasie.
Rozwiązanie problemu:
SAP Commerce rozwiązuje tę podatność poprzez aktualizację biblioteki http2-common serwera Jetty do najnowszej wersji. System należy zaktualizować do jednej z następujących minimalnych wersji łatek:
· SAP Commerce Cloud Patch Release 2211-jdk21.2
· SAP Commerce Cloud Patch Release 2211.45
· SAP Commerce Cloud Patch Release 2205.43
Nota SAP 3658838
CVE: CVE-2025-48913
Tytuł: Security Misconfiguration vulnerability in SAP Data Hub Integration Suite
Produkt: SAP Data Hub Integration Suite
Wersja: CX_DATAHUB_INT_PACK 2205
Priority: High
CVSS: 7.1
Przyczyna:
Przyczyną problemu jest wykorzystanie podatnej wersji bibliotek Apache CXF 3.5.1 z konfiguracją JMS/JNDI w SAP Data Hub Integration Suite, która umożliwia nieuwierzytelnionemu użytkownikowi skonfigurowanie JMS i dostarczenie złośliwych punktów końcowych RMI/LDAP, co może prowadzić do wykonania kodu i wysokiego wpływu na poufność, integralność oraz dostępność aplikacji.
Rozwiązanie problemu:
SAP Data Hub Integration Suite rozwiązuje podatność poprzez aktualizację Apache CXF do wersji 3.6.8, która nie jest podatna na CVE-2025-48913. System należy zaktualizować do najnowszego pakietu rozszerzeń Datahub Integration Extension Pack w wersji CX_DATAHUB_INT_PACK 2205, który zawiera ulepszone komponenty:
· cxf-core-3.6.8
· cxf-rt-bindings-soap-3.6.8
· cxf-rt-bindings-xml-3.6.8
· cxf-rt-databinding-jaxb-3.6.8
· cxf-rt-frontend-jaxws-3.6.8
· cxf-rt-frontend-simple-3.6.8
· cxf-rt-transports-http-3.6.8
· cxf-rt-wsdl-3.6.8
Priorytet średni i niski
Poniżej umieszczono listę pozostałych not security o priorytecie niskim i średnim:
Nota SAP 3503138 (Update) | CVE-2025-0059 SAP NetWeaver Application Server ABAP | CVSS: 6.0 Information Disclosure vulnerability Wersje: KERNEL 7.53-9.14
Nota SAP 3652788 | CVE-2025-42901 SAP Application Server for ABAP (BAPI Browser) | CVSS: 5.4 Code Injection vulnerability Wersje: SAP_BASIS 700-816
Nota SAP 3642021 | CVE-2025-42908 SAP NetWeaver Application Server for ABAP | CVSS: 5.4 Cross-Site Request Forgery (CSRF) vulnerability Wersje: KERNEL 7.53-9.16
Nota SAP 3634724 | CVE-2025-42906 SAP Commerce Cloud | CVSS: 5.3 Directory Traversal vulnerability Wersje: COM_CLOUD 2211
Nota SAP 3627308 | CVE-2025-42902 SAP NetWeaver AS ABAP and ABAP Platform | CVSS: 5.3 Memory Corruption vulnerability Wersje: KERNEL 7.22-9.16
Nota SAP 3625683 | CVE-2025-42939 SAP S/4HANA | CVSS: 4.3 Missing Authorization Check (Bank Statements Processing Rules) Wersje: S4CORE 104-109
Nota SAP 3577131 (Update) | CVE-2025-31331 SAP NetWeaver | CVSS: 4.3 Authorization Bypass vulnerability Wersje: SAP_ABA 700-75I
Nota SAP 3656781 | CVE-2025-42903 SAP Financial Service Claims Management | CVSS: 4.3 User Enumeration and Sensitive Data Exposure via RFC Wersje: INSURANCE 803-806, S4CEXT 107-109
Nota SAP 3617142 | CVE-2025-31672 SAP BusinessObjects | CVSS: 3.5 Deserialization Vulnerability (Web Intelligence and Platform Search) Wersje: ENTERPRISE 430, 2025, 2027
Nota SAP 3643871 | CVE-2025-42909 SAP Cloud Appliance Library Appliances | CVSS: Nieokreślony Security Misconfiguration vulnerability Wersje: TITANIUM_WEBAPP 4.0
Podsumowanie i rekomendacje strategiczne
Zespół SNOK wspiera swoich klientów w kompleksowej implementacji poprawek bezpieczeństwa SAP, oferując dedykowane usługi analizy, priorytetyzacji oraz wdrażania krytycznych aktualizacji w środowiskach produkcyjnych. Październikowy SAP Security Patch Day wymaga natychmiastowej mobilizacji organizacyjnej ze względu na identyfikację 17 not bezpieczeństwa, w tym czterech o najwyższym priorytecie krytycznym z oceną CVSS 10.0, które stanowią bezpośrednie zagrożenie dla ciągłości działania przedsiębiorstw oraz integralności danych biznesowych. W perspektywie najbliższych 48-72 godzin organizacje muszą przeprowadzić kompleksową inwentaryzację zasobów SAP, ze szczególnym uwzględnieniem komponentów SAP NetWeaver AS Java w wersji SERVERCORE 7.50, równolegle inicjując procedury awaryjnej aktualizacji dla systemów krytycznych oraz stosując dostępne obejścia tymczasowe w przypadku noty SAP 3634501. Obecna sytuacja uwidacznia konieczność fundamentalnych zmian w podejściu do zarządzania bezpieczeństwem SAP – organizacje powinny rozważyć implementację zautomatyzowanych systemów monitoringu podatności, ustanowienie dedykowanych zespołów SAP Security Response oraz opracowanie procedur szybkiej reakcji na krytyczne luki bezpieczeństwa, ponieważ potencjalne konsekwencje nieimplementowania krytycznych poprawek obejmują całkowite przejęcie kontroli nad systemami SAP, utratę poufnych danych korporacyjnych oraz długotrwałe przerwy w działalności operacyjnej, co w kontekście rosnących wymagań compliance oraz zwiększonej aktywności cyberprzestępców może skutkować nieodwracalnymi stratami reputacyjnymi i finansowymi.