Ernstig lek gedicht in SAP S/4HANA
Een ernstige kwetsbaarheid is ontdekt in SAP S/4HANA. Het gaat om een code-injectiekwetsbaarheid, waarmee gebruikers met beperkte rechten de volledige controle over een SAP-systeem kunnen overnemen. Het lek wordt al uitgebuit in de praktijk. Een patch die het beveiligingsprobleem verhelpt is beschikbaar.
Het lek (CVE-2025-42957) is ontdekt door het SecurityBridge Threat Research Lab. De ernst van het kwetsbaarheid is in de CVSS-database beoordeelt met een 9,9 op een schaal van 10. Alle releases van S/4 HANA zijn kwetsbaar, zowel van cloudgebaseerde als on-premises implementaties.
Toegang tot alle data op SAP-systeem
Voor het uitbuiten van de kwetsbaarheid moeten kwaadwillenden toegang hebben tot een account met beperkte rechten. De kwetsbaarheid geeft hen de mogelijkheid via dit account toegang te krijgen tot het besturingssysteem van en alle data op het SAP-systeem. Aanvallers kunnen onder meer data verwijderen uit of juist toevoegen aan de SAP-database, SAP-gebruikers creƫren met SAP_ALL, wachtwoordhashes downloaden en businessprocessen aanpassen.
SecurityBridge meldt dat het lek al in de praktijk is uitgebuit door kwaadwillenden. Ook waarschuwt SecurityBridge dat kwaadwillenden relatief eenvoudig de beschikbare patch kunnen reverse engineeren om informatie te verzamelen over de kwetsbaarheid. Dit maakt het extra belangrijk de beschikbare security updates zo snel mogelijk te installeren.
Dutch IT events
Alle events
Meer over Security
Over Wouter Hoeffnagel
