De la incidentele care au afectat centrele IT până la obiceiul lunar al patch-urilor, actualizările de securitate SAP din decembrie 2025 solicită intervenție imediată din partea administratorilor: compania a publicat remedieri pentru 14 vulnerabilități, dintre care trei sunt de severitate critică, vizând componente folosite de organizații mari la scară globală.
Cea mai periculoasă este CVE-2025-42880, o vulnerabilitate de tip code injection în SAP Solution Manager ST 720, evaluată cu CVSS 9.9. Din cauza filtrării necorespunzătoare a anumitor intrări, un utilizator autentificat poate injecta cod malițios apelând un modul de funcție care acceptă apeluri remote. În practică, acest lucru poate permite unui atacator să preia controlul total al sistemului, afectând confidențialitatea, integritatea și disponibilitatea datelor gestionate de platformă. SAP Solution Manager este instrumentul central pentru gestionarea ciclului de viață al aplicațiilor, monitorizare, birou de incidente și service desk, documentare și testare, astfel încât o vulnerabilitate aici are repercusiuni serioase în mediile enterprise.
Al doilea set important de remedieri abordează mai multe vulnerabilități Apache Tomcat care afectează componente din SAP Commerce Cloud, identificate colectiv ca CVE-2025-55754 și notate cu CVSS 9.6. Versiunile afectate includ HY_COM 2205, COM_CLOUD 2211 și COM_CLOUD 2211-JDK21. Platforma SAP Commerce Cloud susține magazine online la scară mare, catalogarea produselor, gestionarea prețurilor și comenzilor, integrarea cu ERP/CRM și conturile clienților; prin urmare, problemele la nivelul infrastructurii web pot pune în pericol operațiuni comerciale critice pentru retaileri mari și branduri globale.
Al treilea defect critic este CVE-2025-42928, o vulnerabilitate de deserializare în SAP jConnect, evaluată cu CVSS 9.1. În anumite circumstanțe, un utilizator cu privilegii ridicate ar putea obține execuție de cod la distanță prin trimiterea de date special construite. jConnect este driverul JDBC folosit pentru a conecta aplicațiile Java la bazele de date SAP ASE și SAP SQL Anywhere, astfel că o problemă aici afectează conectivitatea dintre aplicații și date.
Buletinul din decembrie include, de asemenea, remedieri pentru alte cinci probleme de severitate înaltă și șase de severitate medie, acoperind situații precum corupere de memorie, lipsa controalelor de autentificare și autorizare, cross-site scripting și divulgare de informații. Soluțiile SAP sunt adânc integrate în mediile enterprise și gestionează încărcături de lucru sensibile; această poziție le transformă în obiective atractive pentru cei care caută acces sau perturbare.
Mai devreme în acest an, cercetătorii SecurityBridge au raportat atacuri reale care exploatau o vulnerabilitate de code injection, CVE-2025-42957, ce afecta implementări SAP S/4HANA, Business One și NetWeaver. Deși SAP nu marchează nicio dintre cele 14 probleme din actualizarea curentă ca fiind exploatate activ la momentul publicării, recomandarea este ca administratorii să aplice corecțiile cât mai rapid posibil pentru a micșora fereastra de expunere. Nu este momentul pentru teste leneșe sau pentru a amâna actualizările „pentru mai târziu”.
CVE-2025-42880 este evidențiată ca problema cea mai severă în actualizările SAP din decembrie 2025. Aceasta subliniază riscul concentrării funcțiilor critice într-o singură platformă, iar vulnerabilitățile din SAP Commerce Cloud și jConnect demonstrează că atât stratul web, cât și driverele bazei de date rămân puncte vulnerabile; aplicarea rapidă a patch-urilor și strategii de apărare în profunzime rămân esențiale. Cum gestionați voi procesul de aplicare a patch-urilor pentru sistemele SAP din organizația voastră?
ufa, iar patch-uri.. iarasi? 😅
eu as face chestii simple imediat: inventariati versiunile prin SLD/solman sa vedeti cine e afectat, apoi blocati accesul extern cat timp testati.
daca aveti solman expus, limitati RFC-urile si apelurile remote la IP-urile admin/monitoring, asta reduce mult riscul pt CVE-2025-42880.
pt Tomcat/JDK in Commerce Cloud — update la nivelul containerului/webapp rapid, sau macar WAF/virtual patch pana testati.
jConnect — daca nu e folosit, scos din ruta sau blocat la firewall; daca e folosit, rotate creds si monitor conexiunile JDBC.
scanati instanta cu tool-uri SAP-aware (Onapsis, SecurityBridge, chiar Nessus pt unele check-uri) si puneți alerte in SIEM pentru apeluri neobișnuite la module de function remote sau payload-uri de deserializare.
backups + plan de rollback. testat pe dev, staging, apoi prod pe valuri. nu patch-ati tuturor odata daca nu puteti recupera rapid.
si nu uitați MFA pentru conturi cu privilegii, least-privilege, segregare retea (segmentare), si logare detaliata pt audit.
cineva a mai gasit IOCs legate de exploituri anterioare (ex. CVE-2025-42957) — verificați pentru webshell-uri, procese noi sau trafic spre IP-uri suspecte.
na, cam asta; si da, nu lasa pentru mai tarziu, dar testeaza inteligent, nu doar patch blind.