Une réaction rapide nécessaire face aux vulnérabilités critiques

En mars dernier, SAP a publié une mise à jour qui comprend 25 correctifs de sécurité. Parmi eux, deux vulnérabilités critiques sont préoccupantes pour les entreprises utilisant les services Netweaver et Commerce. Voici tout ce que vous devez savoir pour protéger vos systèmes.

Des failles majeures à combler d’urgence 

SAP n’est pas étranger aux mises à jour de sécurité. Cependant, cette dernière vague de correctifs attire une attention particulière, car elle comble des failles critiques.

La première vulnérabilité, référencée CVE-2025-26661, touche le serveur d’application Netweaver ABAP. Avec une sévérité de 8,8, elle permet d’accéder à des fonctionnalités restreintes, telles que celles de Class Builder, normalement réservées au ABAP Development Workbench. Pour rappel, NetWeaver est un composant essentiel pour de nombreuses applications SAP, facilitant la communication entre l’utilisateur et les serveurs d’application.

Commerce également dans la ligne de mire

La seconde faille critique, CVE-2025-27434, affecte la plateforme Commerce, particulièrement vulnérable au cross-site scripting (XSS). Cette vulnérabilité établie dans une bibliothèque open source, swagger-ui, permet à un attaquant non authentifié d’injecter du code malveillant à partir de sources distantes. En cas d’utilisation réussie, cela peut compromettre la confidentialité, l’intégrité et la disponibilité des applications. Avec un score CVSS élevé de 8,8, les entreprises doivent agir rapidement pour éviter toute exploitation.

Les solutions recommandées incluent la suppression de swagger-ui dans Commerce ou, à défaut, le blocage de l’accès aux consoles Swagger. La vigilance est de mise pour éviter de graves conséquences.

Ne pas négliger les autres vulnérabilités 

En plus de ces failles critiques, d’autres vulnérabilités requièrent également votre attention. Une faille dans Security Note affiche un score CVS de 8,6, liée à un déni de service. Les mises à jour comblent plusieurs failles, dont CVE-2024-38286 et CVE-2024-52316, touchant Apache Tomcat. Ce dernier est essentiel pour l’hébergement d’applications web Java.

Un correctif noté 3483344 cible également des contrôles d’autorisation manquants dans PDCE (Product Design Cost Estimate). 

Surveiller les applications Java personnalisées

Les entreprises utilisant des applications Java personnalisées dans BTP doivent être vigilantes, surtout si elles reposent sur Spring Framework. Les développeurs sont souvent tentés d’utiliser Spring Boot, qui expose différents points de terminaison URL permettant de récupérer des données d’application en temps réel. Cependant, sans précautions adéquates, ces points de terminaison peuvent présenter des risques importants.

Pour éviter les défaillances, il est crucial de mettre en place des mesures de sécurité robustes.

Conclusion : une vigilance accrue est indispensable

En résumé, SAP a mis à jour ses logiciels avec 25 correctifs, dont des failles critiques nécessitant des interventions rapides. Les entreprises doivent impérativement examiner ces vulnérabilités et mettre en œuvre les correctifs disponibles. Pour rester à jour dans un monde de plus en plus numérique, la sécurité ne doit jamais être prise à la légère.