Le 13 mars 2025, SAP a déployé une série d’importantes mises à jour de sécurité, patchant 25 vulnérabilités, dont certaines sont considérées comme critiques. Parmi les plus préoccupantes, deux failles touchent directement le serveur d’application Netweaver et la plateforme de commerce en ligne de SAP, affectant potentiellement une large base d’utilisateurs.
À propos des failles
La première vulnérabilité, identifiée sous le numéro CVE-2025-26661 et notée 8,8 sur l’échelle de sévérité, permet un accès non autorisé à des fonctions normalement réservées au développement d’applications via le Class Builder. Ceci pourrait compromettre l’intégrité des applications gérées sur le serveur Netweaver ABAP, un élément essentiel de l’architecture de nombreuses solutions SAP.
La seconde faille, référencée CVE-2025-27434, concerne la bibliothèque open source swagger-ui utilisée dans la plateforme Commerce. Cette vulnérabilité exploite une faille de type cross-site scripting (XSS), permettant à des attaquants non authentifiés d’injecter du code malveillant. Si cette faille est exploitée, elle pourrait gravement affecter la confidentialité, l’intégrité et la disponibilité des données, plaçant ainsi la sécurité des systèmes d’informations en danger.
Conseils de Sécurité et Correctifs
SAP recommande aux entreprises d’agir rapidement. Les mesures préventives incluent la désactivation de l’accès aux consoles Swagger ou la suppression de swagger-ui de Commerce. Parallèlement, d’autres vulnérabilités, présentant un score de gravité élevé, nécessitent également une attention particulière. Par exemple, une faille touchant Apache Tomcat pourrait induire des dénis de service, et un autre correctif aborde des failles dans le système de design de coût des produits de SAP, connu sous le nom de PDCE.
Les entreprises sont également mises en garde concernant les applications Java personnalisées sur la plate-forme Business Technology Platform (BTP). La prudence est de mise, car certaines configurations courantes pourraient exposer leurs systèmes à des menaces considérables.
Conclusion
La publication de ces mises à jour souligne l’importance cruciale de maintenir une vigilance constante en matière de cybersécurité. Les entreprises qui utilisent les produits SAP doivent procéder aux mises à jour dès que possible pour protéger leurs systèmes d’information face à ces vulnérabilités critiques. Ce rappel de sécurité constitue une opportunité pour toutes les organisations de revoir leurs politiques de mise à jour et de renforcer leur posture de sécurité face à des menaces de plus en plus sophistiquées.
Pour plus de détails sur la mise à jour et les correctifs, consultez l’article complet ici.
—
Cet article a comme source un article du site Le Monde Informatique rédigé par John Leyden, adapté par Jacques Cheminat.
