Les utilisateurs de S/4HANA de SAP et des produits Netweaver sont exposés et doivent appliquer des correctifs dès que possible.
SAP a divulgué une série de nouvelles failles de sécurité dans son logiciel d’entreprise, dont une vulnérabilité avec le score maximal de 10. La faille se trouve dans NetWeaver, le fondement technique de nombreuses applications SAP. Via un port ouvert, les attaquants peuvent exécuter des commandes malveillantes sans se connecter, écrit Ars Technica.
NetWeaver sous le feu des critiques
Il s’agit d’un problème de désérialisation (CVE-2025-42944), qui permet à des personnes malveillantes d’utiliser des commandes qui sont ensuite exécutées par le système. Outre cette faille, SAP a signalé trois autres vulnérabilités graves de NetWeaver, avec des scores de 9,9, 9,6 et 9,1.
La société de sécurité SecurityBridge a signalé qu’une autre faille SAP grave, CVE-2025-42957 dans la suite S/4HANA, était déjà activement exploitée. Cette faille, avec un score de 9,9, permet aux attaquants disposant de droits d’utilisateur de prendre le contrôle total d’un système. Selon SecurityBridge, cela peut entraîner des fraudes, des vols de données, de l’espionnage, voire des ransomwares.
Risque pour les entreprises
SAP souligne que la vulnérabilité S/4HANA sert de porte dérobée, compromettant la confidentialité, l’intégrité et la disponibilité des processus métier critiques. Une simple attaque de phishing pour obtenir des droits minimaux peut suffire à prendre le contrôle total de l’environnement SAP.
D’autres vulnérabilités affectent notamment SAP Business One, Commerce Cloud, Datahub, HCM et BusinessObjects, avec des scores de gravité compris entre 3,1 et 8,8. SAP conseille à ses clients d’installer les correctifs dès que possible. Tout report augmente le risque d’attaques actives.