SAP dicht diverse kwetsbaarheden op SAP Security Patch Day. Het gaat onder meer om drie kritieke kwetsbaarheden in SAP NetWeaver, evenals als ernstige kwetsbaarheden in SAP Business One, SAP Landscape Transformation Replication Server en SAP S/4HANA.

Onder meer is een deserialisatiekwetsbaarheid (CVE-2025-42944) in SAP NetWeaver gedicht. De ernst van dit lek is beoordeeld met een CVSS-score van 10 op 10. De kwetsbaarheid stelt aanvallers in staat om het systeem uit te buiten via de RMI-P4-module door een malafide payload te versturen naar een open poort.

Ook dicht SAP een zogeheten kwetsbaarheid (CVE-2025-42922) in SAP NetWeaver AS Java waardoor bestanden op onveilige manier werden verwerkt. De ernst van deze kwetsbaarheid is beoordeeld met een CVSS-score van 9,9 op 10. In dit geval konden aanvallers zonder beheerdersrechten bestanden uploaden naar SAP NetWeaver AS Java. Het uitvoeren van malafide bestanden kan de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem in gevaar brengen.

Het derde ernstige beveiligingsprobleem dat is gedicht is het ontbreken van een authenticatiecontrole in SAP NetWeaver (CVE-2025-42958), dat een CVSS-score van 9,1 heeft kregen. Dit lek geeft ongeautoriseerde gebruikers de mogelijkheid gevoelige informatie te lezen, aanpassen of verwijderen. Ook kunnen zij diverse beheerdersfunctionaliteiten gebruiken. Het lek kan hierdoor impact hebben op de vertrouwelijkheid, integriteit en beschikbaarheid van de applicatie.

Daarnaast dicht SAP een aantal kwetsbaarheden waarvan de ernst als hoog is beoordeeld:

• CVE-2025-42933: Onveilige opslag van gevoelige gegevens in SAP Business One (SLD) (CVSS-score van 8,8)
• CVE-2025-42929: Het ontbreken van inputvalidatie in SAP Landscape Transformation Replication Server (CVSS-score van 8,1)
• CVE-2025-42916: Het ontbreken van inputvalidatie in SAP S/4HANA (Private Cloud or On-Premise) (CVSS-score van 8,1)

Een overzicht van alle gedichte kwetsbaarheden is hier te vinden.