Gebruikers van SAP’s S/4HANA en producten van Netweaver lopen risico en moeten zo snel mogelijk patchen.
SAP heeft een reeks nieuwe beveiligingslekken in zijn bedrijfssoftware bekend gemaakt, waaronder een kwetsbaarheid met de maximale score van 10. De fout bevindt zich in NetWeaver, het technische fundament van veel SAP-applicaties. Via een open poort kunnen aanvallers zonder in te loggen schadelijke commando’s uitvoeren, schrijft Ars Technica.
NetWeaver onder vuur
Het gaat om een deserialisatieprobleem (CVE-2025-42944), waardoor kwaadwilligen commando’s kunnen gebruiken die daarna worden uitgevoerd door het systeem. Naast dit lek meldde SAP drie andere ernstige NetWeaver-kwetsbaarheden, met scores van 9.9, 9.6 en 9.1.
Beveiligingsbedrijf SecurityBridge meldde dat een ander ernstig SAP-lek, CVE-2025-42957 in de S/4HANA-suite, al actief werd misbruikt. Dat lek, met een score van 9.9, stelt aanvallers met gebruikersrechten in staat om een volledig systeem over te nemen. Volgens SecurityBridge kan dat leiden tot fraude, datadiefstal, spionage of zelfs ransomware.
Risico voor bedrijven
SAP benadrukt dat de S/4HANA-kwetsbaarheid dient als een achterpoort, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van kritieke bedrijfsprocessen in gevaar komen. Een simpele phishingaanval om minimale rechten te krijgen kan voldoende zijn om de volledige controle over te nemen van de SAP-omgeving.
Andere kwetsbaarheden treffen onder meer SAP Business One, Commerce Cloud, Datahub, HCM en BusinessObjects, met ernstscores tussen 3.1 en 8.8. SAP raadt klanten aan om zo snel mogelijk de patches te installeren. Uitstel verhoogt het risico op actieve aanvallen.