SAP dicht kritieke kwetsbaarheden in NetWeaver, SQL Anywhere Monitor en Solution Manager

[Captain Kirk]

SAP dicht een reeks kwetsbaarheden in haar producten. Het gaat onder meer om een drietal kritieke kwetsbaarheden in NetWeaver, SQL Anywhere Monitor en SAP Solution Manager.

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat de kwetsbaarheden misbruikt kunnen worden om ongeautoriseerde toegang te verkrijgen, schadelijke code uit te voeren of gevoelige informatie uit te lekken. De ernstigste kwetsbaarheid (CVE-2025-42944) zit volgens het NCSC in SAP NetWeaver. Het gaat om een deserialisatie-kwetsbaarheid, die het mogelijk maakt zonder authenticatie op afstand willekeurige code uit te voeren.

Daarnaast is ook een kwetsbaarheid in SQL Anywhere Monitor (CVE-2025-42944) als kritiek beoordeeld. De code van de software blijken hardcoded inloggegevens te bevatten, die kwaadwillenden eveneens kunnen gebruiken om ongeautoriseerde toegang te verkrijgen en code uit te voeren op het systeem.

Een derde kritieke kwetsbaarheid zit in SAP Solution Manager (CVE-2025-42887), dat aanvallers de mogelijkheid biedt malafide code te injecteren en zo de volledige controle over het systeem over te nemen.

 

De volgende kwetsbaarheden zijn door SAP gedicht:

• CVE-2025-42890 - CVSS (v4) 9.3
• CVE-2025-42944 - CVSS (v4) 9.3
• CVE-2025-42887 - CVSS (v4) 8.7
• CVE-2025-42940 - CVSS (v4) 6.9
• CVE-2025-42895 - CVSS (v4) 4.6
• CVE-2025-42892 - CVSS (v4) 8.5
• CVE-2025-42894 - CVSS (v4) 8.5
• CVE-2025-42884 - CVSS (v4) 6.9
• CVE-2025-42924 - CVSS (v4) 5.3
• CVE-2025-42893 - CVSS (v4) 5.3
• CVE-2025-42886 - CVSS (v4) 5.3
• CVE-2025-42885 - CVSS (v4) 6.9
• CVE-2025-42888 - CVSS (v4) 4.6
• CVE-2025-42889 - CVSS (v4) 5.3
• CVE-2025-42919 - CVSS (v4) 6.9
• CVE-2025-42897 - CVSS (v4) 6.9
• CVE-2025-42899 - CVSS (v4) 5.3
• CVE-2025-42882 - CVSS (v4) 5.3
• CVE-2025-42883 - CVSS (v4) 5.1

 

 

bron: https://www.security.nl