SAP sürgős javítások
A SAP több súlyos sebezhetőséget javított a NetWeaver platformon, amelyek lehetővé tették a kódvégrehajtást és teljes rendszerátvételt külső támadók számára. A hibák középpontjában az insecure deserialization eljárás állt – ezekért a kritikus hibákért a NetWeaver Visual Composer komponens volt a felelős, amelyet számos szervezet használ üzleti logikák megvalósításához. Maga az SAP magas, mérsékelt és kritikus besorolású javításokat adott ki, mivel a sérülékenység lehetővé tette, hogy az elkövetők tetszőleges Java-objektumokat tölthessenek be, és ezáltal tetszőleges kódot hajthassanak végre a szerveren.
A legkritikusabb közülük a CVE-2025-30012 CVSS pontszáma elérhette a 10.0-t, azaz teljesen veszélyes állapotot tükrözött. Több iparág – köztük energetika, gyártás, állami szervek – használ SAP NetWeavert, ezért a patch gyors telepítése létfontosságú, hogy megakadályozzák az exploitokkal való visszaélést.
Az SAP sürgős javítási intézkedéseket írt elő: 2025. július elején megjelent SAP Security Note 3594142 két héten belül lett elterjedtebb, és több mint 1200 nyilvános NetWeaver szerver láthatóan még nem volt frissítve, amikor a biztonsági határidő lejárt. A támadók abban az időszakban aktívan keresték az elmaradó telepítéseket, és azonosított CSC-k – például vállalati zsarolóprogram-csoportok – is beépítették a sebezhetőséget támadó készleteikbe.
