Alors que le Patch Tuesday de Microsoft a été publié récemment, SAP livre aussi son lot de correctifs de sécurité dans plusieurs de ses logiciels. Certains réparent des vulnérabilités critiques comme celle touchant le serveur d’application Netweaver ABAP. Référencée CVE-2025-26661 et dotée d’une sévérité de 8,8, elle entraîne l’accès à des fonctions de Class Builder qui devraient être réservées à l'ABAP Development Workbench.

Pour rappel, NetWeaver Application Server ABAP (AS ABAP) est un composant middleware de la pile logicielle de SAP qui sert de base à de nombreuses applications de l’éditeur. Cette technologie relie l'interaction avec l'utilisateur et l'intégration des composants desktop (couche de présentation), les serveurs d'application ABAP et ceux de messages (couche applicative), ainsi que les bases de données. ABAP est le langage propriétaire de SAP. La seconde faille critique (CVE-2025-27434) touche Commerce (plateforme cloud pour le e-commerce) et s’appuie sur du XSS (cross-site scripting). La vulnérabilité se situe dans la bibliothèque open source swagger-ui. Le bug crée un mécanisme où un attaquant non authentifié peut injecter du code malveillant à partir de sources distantes. En cas de succès, les attaquants seraient en mesure de porter atteinte à la confidentialité, à l'intégrité et à la disponibilité de l'application, ce qui vaut à cette vulnérabilité un score CVSS élevé de 8,8. Il est conseillé aux entreprises de trier rapidement la vulnérabilité ou, au minimum, de supprimer toute utilisation de swagger-ui dans Commerce ou de bloquer l'accès aux consoles Swagger comme solution de contournement pour bloquer l'exploitation potentielle.

D'autres vulnérabilités à corriger

Parmi les autres vulnérabilités à corriger rapidement, celle touchant Security Note affiche un score CVS de 8,6 et implique un déni de service. La mise à jour comble des veilles failles (CVE-2024-38286 et CVE-2024-52316) ciblant Apache Tomcat, une plateforme d'hébergement d'applications web basées sur Java, mettant en œuvre les spécifications Java Servlet et JavaServer Pages (JSP). Le correctif 3483344 répare des contrôles d’autorisation manquants dans PDCE (Product Design Cost Estimate) FIN-BA de SAP.

Les entreprises devront surveiller les applications Java personnalisées dans BTP à l’aide de Spring Framework. « Les développeurs utilisent souvent l'activateur Spring Boot, un outil exposant divers points de terminaison URL qui offrent des données d'application en temps réel, facilitant le débogage et la surveillance », explique un billet de blog du spécialiste de la sécurité des applications d'entreprise Onapsis. « Toutefois, en l'absence de mesures de sécurité appropriées, ces points de terminaison peuvent présenter de graves vulnérabilités. » Enfin, l’éditeur allemand propose des conseils actualisés pour la faille App Router traitée le mois dernier.