أصدرت شركة SAP مجموعة تحديثات أمنية جديدة لمعالجة 13 ثغرة أمنية، من بينها تصحيح بالغ الأهمية في منصة SAP NetWeaver AS Java، يتيح للمهاجمين تنفيذ أوامر على النظام دون الحاجة إلى تسجيل الدخول، في حال لم تُطبَّق التحديثات.
ثغرة CVE-2025-42944: تسلسل غير آمن يؤدي إلى تنفيذ أوامر عشوائية
تحمل الثغرة CVE-2025-42944 أعلى تصنيف خطورة ممكن (CVSS 10.0)، وقد وُصفت بأنها ناتجة عن ثغرة في عملية التسلسل العكسي غير الآمنة (Insecure Deserialization) داخل NetWeaver.
ووفقًا للتفاصيل المنشورة في موقع CVE.org، يمكن لمهاجم غير مصادق أن يستغل الثغرة عبر وحدة RMI-P4 من خلال إرسال حمولة خبيثة إلى منفذ مفتوح على الخادم، مما يؤدي إلى تنفيذ أوامر نظام تشغيل تعسفية تهدد سرية البيانات وسلامتها وتوافرها.
وأشارت شركة Onapsis إلى أن التصحيح الأخير من SAP يتضمن طبقة حماية إضافية لتعزيز الأمان ضد مخاطر التسلسل العكسي. وتعتمد هذه الحماية على مرشح عام في بيئة JVM يمنع استدعاء فئات برمجية معينة أثناء التسلسل العكسي.
وقد جرى تحديد قائمة الفئات والحِزم الموصى بحظرها بالتعاون مع ORL، وقُسّمت إلى قسم إلزامي وآخر اختياري لضمان أقصى درجات الحماية.
ثغرات حرجة أخرى في خدمات الطباعة والعلاقات التوريدية
تضمّنت التحديثات أيضًا ثغرة أخرى بالغة الخطورة هي CVE-2025-42937 (درجة CVSS: 9.8) في خدمة SAP Print Service، ناجمة عن قصور في التحقق من المسارات، ما يتيح للمهاجم غير المصادق تنفيذ هجوم اجتياز الأدلة (Directory Traversal) والوصول إلى مجلدات رئيسية أو حتى الكتابة فوق ملفات النظام الحساسة.
أما الثغرة الثالثة فهي CVE-2025-42910 (درجة CVSS: 9.0) في نظام SAP Supplier Relationship Management، وتتعلق بخلل في التحميل غير المقيّد للملفات (Unrestricted File Upload)، يتيح للمهاجم رفع ملفات عشوائية — بما في ذلك ملفات تنفيذية خبيثة — يمكنها المساس بسرية التطبيق وسلامة بياناته واستمرارية عمله.
أهمية التحديثات العاجلة والتدابير الوقائية
لم يُرصد حتى الآن استغلال نشط لهذه الثغرات في البرية، إلا أن الخبراء يشددون على ضرورة تطبيق التصحيحات فورًا وتفعيل التوصيات الأمنية المرفقة.
وقال جوناثان ستروس من شركة Pathlock إن ثغرات التسلسل العكسي تظل «الخطر الأكبر»، موضحًا أن سلسلة RMI/P4 تواصل تمثيل مصدر تهديد حرج في بيئة AS Java، مما استدعى من SAP إصدار تصحيح مباشر إلى جانب تهيئة JVM مُحصّنة للحد من إساءة استخدام فئات البرمجة (gadget classes) في سلاسل الهجوم.
