Компанія SAP випустила грудневі патчі безпеки, якими усунула 14 уразливостей, серед яких три критичні з оцінкою CVSS до 9,9. Найнебезпечніші проблеми дозволяють віддалене виконання коду та повний контроль над системами, що становить серйозну загрозу для корпоративної інфраструктури.
Найкритичніша уразливість — CVE-2025-42880 (CVSS 9.9) — зачіпає SAP Solution Manager ST 720. Через відсутність належної перевірки вхідних даних авторизований зловмисник може впровадити шкідливий код при виклику функціонального модуля з віддаленим доступом. Успішна експлуатація дає повний контроль над системою, впливаючи на конфіденційність, цілісність і доступність даних.
Друга за критичністю проблема — CVE-2025-55754 (CVSS 9.6) — об’єднує кілька уразливостей Apache Tomcat у складі SAP Commerce Cloud (HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21). Ця платформа активно використовується великими ритейлерами та глобальними брендами, що значно підвищує потенційний масштаб ризиків.
Третя критична уразливість — CVE-2025-42928 (CVSS 9.1) — пов’язана з десеріалізацією в SAP jConnect. За певних умов вона дозволяє користувачу з високими привілеями виконати віддалене виконання коду через спеціально сформовані дані.
Окрім трьох критичних багів, SAP також закрила п’ять уразливостей високої та шість середньої небезпеки, включно з помилками памʼяті, відсутністю перевірок автентифікації та авторизації, XSS і витоком інформації. Раніше цього року дослідники вже фіксували реальні атаки на SAP-системи, зокрема S/4HANA та NetWeaver, що підкреслює привабливість цієї екосистеми для зловмисників.
Компанія SAP зазначає, що жодна з нових уразливостей наразі не зафіксована як активно експлуатована, однак рекомендує адміністраторам негайно встановити оновлення.
Інцидент підкреслює системний ризик: SAP-рішення є критично важливими для бізнесу, а затримки з оновленнями можуть призвести до повного компрометації корпоративних середовищ. Оперативне патчування залишається ключовим елементом захисту.
