CRITICAL✓ PATCH🇬🇧 English

CVE-2025-42944

Krytyczna podatność deserialization w SAP NetWeaver (RMI-P4) — RCE bez uwierzytelnienia

CVSS 10.0v3.1pub. 2025-09-09upd. 2026-04-15

SAP NetWeaver zawiera krytyczną podatność deserialization w module RMI-P4, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla każdej organizacji korzystającej z SAP NetWeaver.

Pokaż oryginał (EN)

Due to a deserialization vulnerability in SAP NetWeaver, an unauthenticated attacker could exploit the system through the RMI-P4 module by submitting malicious payload to an open port. The deserialization of such untrusted Java objects could lead to arbitrary OS command execution, posing a high impact to the application's confidentiality, integrity, and availability.

🤖 Analiza AI
Jak działa

Atakujący wysyła złośliwy payload zawierający niezaufane obiekty Java do otwartego portu obsługiwanego przez moduł RMI-P4 w SAP NetWeaver. Serwer deserializuje przesłane dane bez wcześniejszego uwierzytelnienia użytkownika, co pozwala na wykonanie osadzonego kodu. W wyniku deserializacji niezaufanych obiektów Java możliwe jest osiągnięcie pełnego wykonania poleceń na poziomie systemu operacyjnego (arbitrary OS command execution). Atak nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika, a jego zakres wykracza poza samą aplikację (S:C w wektorze CVSS).

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem operacyjnym serwera — odczytywać, modyfikować i niszczyć dane oraz zakłócać dostępność usług, co oznacza całkowite naruszenie poufności, integralności i dostępności systemu SAP NetWeaver.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami SAP Security Notes 3634501, 3660659 oraz 3670067 (dostępne pod adresem me.sap.com). Dodatkowo zaleca się ograniczenie dostępu sieciowego do portów RMI-P4 wyłącznie do zaufanych hostów poprzez firewall oraz monitorowanie ruchu sieciowego na tych portach do czasu wdrożenia łatek.

Kogo dotyczy

SAP NetWeaver z aktywnym modułem RMI-P4 z dostępnym portem sieciowym; konkretne wersje produktu wskazane w referencjach producenta (SAP Security Notes: 3634501, 3660659, 3670067)

Uwagi

Podatność opublikowana w ramach SAP Security Patch Day (https://url.sap/sapsecuritypatchday). Wektor CVSS wskazuje na pełny zakres naruszenia (Scope:Changed) — skutki mogą wykraczać poza bezpośrednio atakowany komponent SAP NetWeaver.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth BypassDeserialization
CWE
Referencje