A SAP lançou atualizações emergenciais para corrigir três vulnerabilidades graves em seu software NetWeaver. Uma dessas falhas recebeu pontuação CVSS 10.0, o nível máximo de risco, e permite que atacantes executem comandos remotamente sem precisar de autenticação. A empresa recomenda a aplicação imediata dos patches para evitar riscos operacionais e invasões. A vulnerabilidade mais crítica, identificada como CVE‑2025‑42944, está relacionada à desserialização insegura no módulo RMI‑P4.
Se explorada, ela pode permitir que um invasor externo assuma o controle do sistema afetado, sem sequer ter credenciais de acesso. Como medida temporária, a SAP orienta que administradores filtrem o tráfego da porta P4 até que a correção seja aplicada. Outras duas falhas graves também foram abordadas no mesmo pacote de segurança. A CVE‑2025‑42922 permite o envio de arquivos maliciosos por usuários não administradores, e a CVE‑2025‑42958 afeta ambientes IBM i‑series, permitindo a manipulação de dados sensíveis por usuários com privilégios elevados. As correções fazem parte do pacote de atualizações de setembro de 2025 e envolvem não apenas novas notas de segurança, mas também revisões de registros anteriores.
No total, 21 novas recomendações foram publicadas pela SAP neste mês, reforçando a importância de manter os sistemas atualizados. Apesar de não haver indícios de que essas falhas estejam sendo exploradas ativamente, especialistas alertam que a janela entre a divulgação e a aplicação dos patches pode ser aproveitada por grupos mal-intencionados. Empresas que utilizam o SAP NetWeaver devem revisar com urgência suas configurações e aplicar as atualizações recomendadas.
