Salve de correctifs chez SAP - Le Monde Informatique

SAP a publié 13 notes de sécurité, ainsi que quatre mises à jour de notes de sécurité précédemment publiées. Les experts recommandent de prioriser les services exposés à Internet.

Après plusieurs correctifs apportés ces derniers mois pour remédier à des vulnérabilités critiques liées à la désérialisation dans Netweaver AS Java, SAP a aujourd'hui mis en place une couche de protection supplémentaire. Elle est détaillée dans la note de sécurité n° 3660659 et porte un score CVSS de 10,0. Elle est également décrite dans une mise à jour de la CVE-2025-42944 de septembre. Selon le fournisseur de sécurité Onapsis, cette couche de protection supplémentaire repose sur la mise en œuvre d'un filtre à l'échelle de la machine virtuelle Java qui empêche la désérialisation de classes dédiées. La liste des classes et des paquets recommandés à bloquer est divisée en sections obligatoires et facultatives.

« Si elle n'est pas résolue, la faille de désérialisation peut être exploitée (et l'a déjà été avec succès) pour paralyser une entreprise et sa capacité à fonctionner », a averti Paul Laudanski, directeur de la recherche en sécurité chez Onapsis. Si les administrateurs ne peuvent pas corriger ce problème immédiatement, les chercheurs de Pathlock conseillent, à titre de mesure provisoire, d'isoler au niveau du réseau le protocole de communication Java P4/P4S.

Onapsis note également que la note de sécurité SAP n° 3647332, notée 9,0 selon le score CVSS, corrige une vulnérabilité de téléchargement de fichiers sans restriction dans SAP Supplier Relationship Management (SRM). En raison de l'absence de vérification du type ou du contenu des fichiers, l'application permet à un attaquant authentifié de télécharger des fichiers arbitraires. Ces fichiers peuvent contenir des exécutables hébergeant des logiciels malveillants qui, lorsqu'ils sont téléchargés et exécutés par l'utilisateur, peuvent avoir un impact important sur la confidentialité, l'intégrité et la disponibilité de l'application.

Priorité aux services connectés à Internet

Un autre problème critique, noté 9,8, est une vulnérabilité de traversée de répertoire dans le service d'impression SAPSprint. Cette faille, CVE-2025-42937, est une validation insuffisante du chemin d'accès qui permet une traversée de répertoire à distance non authentifiée et un éventuel écrasement des fichiers système. Il n'existe aucune solution de contournement, selon les chercheurs de Pathlock, ces mises à jour doivent donc être déployées.

Parmi tous les correctifs SAP publiés aujourd'hui, les équipes de sécurité doivent donner la priorité aux services connectés à Internet et aux mises à jour au niveau du noyau, conseille Jonathan Stress de Pathlock, puis traiter les éléments de la couche applicative avec des mesures d'atténuation ciblées et des tests de régression.