SAP đã tung ra các bản vá bảo mật cho 13 vấn đề bảo mật mới, bao gồm việc tăng cường bổ sung cho một lỗi nghiêm trọng tối đa trong SAP NetWeaver AS Java có thể dẫn đến thực thi lệnh tùy ý.
Lỗ hổng này, được theo dõi là CVE-2025-42944, có điểm CVSS là 10.0. Nó được mô tả là một trường hợp insecure deserialization.
"Do lỗ hổng deserialization trong SAP NetWeaver, một kẻ tấn công không được xác thực có thể khai thác hệ thống thông qua module RMI-P4 bằng cách gửi một payload độc hại đến một cổng mở," theo mô tả của lỗ hổng trên CVE.org.
"Việc deserialization các đối tượng Java không đáng tin cậy như vậy có thể dẫn đến thực thi lệnh OS tùy ý, gây ra tác động lớn đến tính bảo mật, tính toàn vẹn và tính khả dụng của ứng dụng."
Mặc dù lỗ hổng này lần đầu tiên được SAP xử lý vào tháng trước, công ty bảo mật Onapsis cho biết bản vá mới nhất cung cấp các biện pháp bảo vệ bổ sung để chống lại rủi ro do deserialization gây ra.
"Lớp bảo vệ bổ sung này dựa trên việc triển khai bộ lọc toàn JVM (jdk.serialFilter) ngăn các lớp chuyên dụng bị deserialized," họ lưu ý. "Danh sách các lớp và gói được khuyến nghị chặn đã được xác định hợp tác với ORL và được chia thành một phần bắt buộc và một phần tùy chọn."
Các Lỗ Hổng Nghiêm Trọng Khác
Một lỗ hổng nghiêm trọng đáng chú ý khác là CVE-2025-42937 (điểm CVSS: 9.8), một lỗ hổng directory traversal trong SAP Print Service phát sinh do việc xác thực đường dẫn không đủ, cho phép kẻ tấn công không được xác thực truy cập thư mục gốc và ghi đè các tệp hệ thống.
Lỗ hổng nghiêm trọng thứ ba được SAP vá liên quan đến lỗi unrestricted file upload bug trong SAP Supplier Relationship Management (CVE-2025-42910, điểm CVSS: 9.0) có thể cho phép kẻ tấn công tải lên các tệp tùy ý, bao gồm cả các tệp thực thi độc hại có thể ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính khả dụng của ứng dụng.
Mặc dù không có bằng chứng nào cho thấy các lỗ hổng này đang bị khai thác trong thực tế, điều cần thiết là người dùng phải áp dụng các bản vá và biện pháp giảm thiểu mới nhất càng sớm càng tốt để tránh các mối đe dọa tiềm ẩn.
"Deserialization vẫn là rủi ro chính," Jonathan Stross của Pathlock cho biết. "Chuỗi P4/RMI tiếp tục gây ra critical exposure trong AS Java, với việc SAP ban hành cả bản sửa lỗi trực tiếp và cấu hình JVM được tăng cường để giảm thiểu việc lạm dụng gadget‑class."
