Chamado
SAP Patch Day de junho de 2025: proteja seus sistemas contra vulnerabilidades críticas
logo da SAP na cor azul com a frase security patch logo abaixo em um box vermelho

Em 10 de junho de 2025, a SAP lançou seu Patch Day mensal de segurança, destacando 14 novas Notas de Segurança que corrigem vulnerabilidades críticas em produtos como NetWeaver, GRC, BW, BI Workspace e S/4HANA. A implantação urgente dessas atualizações é essencial para mitigar riscos como escalonamento de privilégios, exposição de informações sensíveis e execução remota de código. 

Este artigo explora os principais destaques, esclarecimentos técnicos e recomendações para que sua empresa esteja protegida e em conformidade.

Vulnerabilidades críticas que exigem atenção imediata

HotNews: Autorização ausente no NetWeaver AS ABAP (CVE‑2025‑42989)

Classificada como HotNews com CVSS 9,6, essa falha no framework RFC permite que usuários autenticados ignorem verificações de autorização (objeto S_RFC) em chamadas tRFC/qRFC. O resultado? Escalonamento de privilégios, comprometimento da integridade do sistema e risco de execução remota de código.

Recomendação: implemente imediatamente a Nota 3600840 e ajuste perfis S_RFC conforme orientação da FAQ da SAP (Nota 3601919)

Leia mais: RISE with SAP: modernizando e migrando com eficiência

Atualização crítica do NetWeaver Visual Composer (CVE‑2025‑42999)

Nova correção para falha de desserialização em servidor de desenvolvimento Visual Composer, pontuada em CVSS 9,1. Continuidade de vulnerabilidades no componente, que já foi alvo de ataques massivos desde maio.

Recomendação: aplique imediatamente a Nota 3604119.

Vulnerabilidades de alta prioridade — correção recomendada a curto prazo

Além das HotNews, seis falhas de alta gravidade (CVSS 7,5 a 8,8) foram corrigidas:

  • CVE‑2025‑42982 (8,8) – Exposição de dados em SAP GRC AC Plugin;
  • CVE‑2025‑42983 (8,5) – Autorização ausente no BW e Plug‑In Basis;
  • CVE‑2025‑23192 (8,2) – XSS no BI Workspace;
  • CVE‑2025‑42977 (7,6) – Directory Traversal no Visual Composer;
  • CVE‑2025‑42994 (7,5) – Multi‑vulnerabilidades no MDM Server.

Estas falhas podem resultar em vazamento ou modificação de dados, e interrupção de processos críticos.

Recomendação: aplicar correções em janelas curtas de manutenção — idealmente no próximo ciclo operacional.

Vulnerabilidades de média e baixa prioridade

Apesar de menor criticidade, são relevantes, especialmente em ambientes com S/4HANA e SAPUI5:

  • Autorização ausente em funcionalidades do S/4HANA (Enterprise Event Enablement, Central Purchase Contract, Bank Accounts, etc.) – CVSS 4,3 a 6,7;
  • XSS em ABAP Keyword Documentation (CVE‑2025‑31325 – CVSS 5,8);
  • Configuração insegura em SAP Business One Integration Framework (CVE‑2025‑42998 – CVSS 5,3);
  • SSRF no SAP BusinessObjects BI Platform e HTML Injection em SAPUI5 (CVSS 3,0 a 3,7).
  • CVE‑2025‑42994 (7,5) – Multi‑vulnerabilidades no MDM Server.

Recomendação: inclua essas correções em ciclos regulares de manutenção.

A importância do SAP Patch Day

O Patch Day é fundamental para manter um ambiente SAP seguro. Ignorar atualizações significa expor sua empresa a riscos exploráveis, como os observados com CVE‑2025‑42989 e CVE‑2025‑42999. Recomenda-se:

  • Acompanhar mensalmente as Notas de Segurança;
  • Priorizar HotNews e alta prioridade;
  • Automatizar escaneamentos e deploys;
  • Realizar auditorias de autorização com ênfase no S_RFC;
  • Monitorar componentes como Visual Composer para sinais de exploração.

Como a BC4IT pode ajudar com a segurança do seu sistema SAP

A BC4IT oferece serviços completos de atualizações de ambientes SAP, que englobam:

  • Aplicação de Support Packages – garante que estejam sendo usadas as correções e melhorias mais recentes;
  • Aplicação de EHPs (Enhancement Packages) – seu sistema alinhado com as novidades do mercado e as práticas recomendadas;
  • Atualizações do SAP S/4HANA – atualização eficaz e precisa para o mais recente sistema ERP da SAP.

Ao se planejar estrategicamente com as atualizações corretas e suporte especializado, sua empresa fortalece a proteção e performance dos ambientes SAP.

Conclusão

O SAP Patch Day de junho de 2025 corrigiu 14 vulnerabilidades, incluindo falhas críticas com potenciais para escalonamento de privilégios e execução remota de código. Implementar rapidamente as HotNews e priorizar correções de alta criticidade é fundamental para garantir a continuidade dos negócios e proteção dos dados.

A BC4IT, com seu serviço de SAP Update, está pronta para ajudar sua empresa a aplicar essas atualizações com segurança, manter conformidade e evitar riscos — tudo de forma eficiente e confiável.

Para saber mais sobre esse e outros serviços oferecidos pela BC4IT, visite nosso site clicando aqui e entre em contato conosco.

Continue acompanhando o blog da BC4IT para mais conteúdos relacionados a segurança em ambientes SAP e outros assuntos.