أعلنت شركة SAP يوم الثلاثاء عن إصدار تحديثات أمنية لإصلاح عدة ثغرات، من بينها ثلاث ثغرات حرجة في منصة SAP NetWeaver قد تؤدي إلى تنفيذ أوامر عن بُعد ورفع ملفات عشوائية.
وحسب التصنيف الأمني، جاءت أخطر هذه الثغرات بدرجة CVSS 10.0، ما يجعلها من أعلى درجات الخطورة في مقياس الثغرات.
تفاصيل الثغرات المصححة
-
CVE-2025-42944 (درجة CVSS: 10.0): ثغرة deserialization في وحدة RMI-P4 تسمح للمهاجم غير الموثق بإرسال حمولة خبيثة إلى منفذ مفتوح، ما يؤدي إلى تنفيذ أوامر نظام التشغيل.
-
CVE-2025-42922 (درجة CVSS: 9.9): ثغرة في العمليات المتعلقة بالملفات في SAP NetWeaver AS Java تسمح لمستخدم غير إداري برفع ملفات عشوائية.
-
CVE-2025-42958 (درجة CVSS: 9.1): غياب تحقق من الهوية في تطبيق NetWeaver على IBM i-series، ما يمكّن مستخدمين ذوي امتيازات عالية لكن غير مصرح لهم من قراءة أو تعديل أو حذف بيانات حساسة، إضافة إلى الوصول إلى وظائف إدارية.
توصيات عاجلة من الخبراء
قالت شركة Onapsis إن الثغرة الأولى تتيح للمهاجمين تنفيذ أوامر نظام التشغيل دون الحاجة إلى مصادقة، محذّرة من أن استغلالها قد يؤدي إلى اختراق كامل للتطبيق. ونصحت كإجراء مؤقت بتطبيق تصفية لمنفذ P4 على مستوى ICM لمنع الاتصالات غير المصرح بها.
ثغرات إضافية في S/4HANA
إلى جانب ذلك، عالجت SAP ثغرة عالية الخطورة (CVE-2025-42916، بدرجة CVSS: 8.1) ناجمة عن غياب التحقق من مدخلات المستخدم في نظام S/4HANA، ما قد يسمح لمهاجم يتمتع بامتيازات عالية بحذف محتويات جداول قواعد بيانات حساسة.
وتأتي هذه الإصلاحات بعد أيام من كشف شركتي SecurityBridge وPathlock أن ثغرة حرجة سابقة في S/4HANA (CVE-2025-42957، بدرجة CVSS: 9.9) يجري استغلالها فعليًا في الهجمات.
أهمية التحديث الفوري
ورغم عدم وجود دلائل على استغلال الثغرات الجديدة حتى الآن، شددت الشركة والباحثون على أن تطبيق التحديثات الأمنية فورًا أمر بالغ الأهمية لحماية الأنظمة من أي محاولات هجوم مستقبلية.
