Overview
A SAP divulgou seu Security Patch Day de dezembro de 2025 com correções para 14 novas vulnerabilidades de segurança. As falhas mais graves incluem a CVE-2025-42880 (CVSS 9.9) que permite injeção de código no SAP Solution Manager, a CVE-2025-55754 (CVSS 9.6) e CVE-2025-55752 (CVSS 9.6) que expõem o SAP Commerce Cloud através de múltiplas vulnerabilidades no Apache Tomcat integrado, e a CVE-2025-42928 (CVSS 9.1) que possibilita desserialização no SAP jConnect SDK for ASE.
A CVE-2025-42880 é particularmente crítica pois permite que atacantes autenticados com baixos privilégios injetem e executem código arbitrário no SAP Solution Manager (ST 720) através de um módulo de função habilitado remotamente que carece de validação adequada de entrada. Dado o papel central do SAP Solution Manager no gerenciamento de landscapes SAP, esta vulnerabilidade representa um risco crítico. A CVE-2025-55754 no SAP Commerce Cloud (versões HY_COM 2205, COM_CLOUD 2211, e COM_CLOUD 2211-JDK21) resulta de múltiplas falhas no Apache Tomcat incorporado.
O Patch Day de dezembro também inclui 5 vulnerabilidades classificadas como de alta severidade, bem como outras 6 tidas como médias. A SAP recomenda fortemente a aplicação imediata dos patches através do Support Portal, já que tais falhas podem levar à execução de código remoto e comprometimento total de sistemas.
Produtos Afetados
| CVE | Severidade | Produto Afetado |
|---|---|---|
| CVE-2025-42880 | Crítica | SAP Solution Manager versão ST 720 |
| CVE-2025-55754 | Crítica | SAP Commerce Cloud versões HY_COM 2205, COM_CLOUD 2211 e COM_CLOUD 2211-JDK21 |
| CVE-2025-55752 | Crítica | SAP Commerce Cloud versões HY_COM 2205, COM_CLOUD 2211 e COM_CLOUD 2211-JDK21 |
| CVE-2025-42928 | Crítica | SAP jConnect SDK for ASE versões 16.0.4 e 16.1 |
| CVE-2025-42878 | Alta | SAP Web Dispatcher, SAP Internet Communication Manager (ICM) versões KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.22_EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93 e 9.16 |
| CVE-2025-42874 | Alta | SAP NetWeaver (remote service for Xcelsius) versões BI-BASE-E 7.50, BI-BASE-B 7.50, BI-IBC 7.50, BI-BASE-S 7.50, BIWEBAPP 7.50 |
| CVE-2025-48976 | Alta | SAP Business Objects versões ENTERPRISE 430, 2025, 2027 |
| CVE-2025-42877 | Alta | SAP Web Dispatcher, ICM e Content Server versões KRNL64UC 7.53, WEBDISP 7.53, 7.54, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, CONTSERV 7.53, 7.54, KERNEL 7.53 e 7.54 |
| CVE-2025-42876 | Alta | SAP S/4HANA Private Cloud - Financials General Ledger versões S4CORE 104, 105, 106, 107, 108 e 109 |
Nota: O SAP Patch Day de dezembro inclui 14 Security Notes no total, sendo 6 delas de média severidade.
Recomendações
- Aplicar imediatamente os patches de segurança disponibilizados pela SAP para todas as instâncias dos produtos afetados
- Atualizar urgentemente o SAP Solution Manager (ST 720) para corrigir a CVE-2025-42880 e revisar permissões de usuários
- Implementar as correções de segurança no SAP Commerce Cloud (versões HY_COM 2205, COM_CLOUD 2211, e COM_CLOUD 2211-JDK21) para mitigar CVE-2025-55754 e CVE-2025-55752, aplicando a versão corrigida do Apache Tomcat
- Aplicar o patch para CVE-2025-42928 no SAP jConnect SDK for ASE (versões 16.0.4 e 16.1) para proteger contra exploração de desserialização insegura por usuários com privilégios elevados
- Atualizar o SAP Web Dispatcher e ICM para corrigir a CVE-2025-42878 (CVSS 8.2), que desabilita interfaces vulneráveis destinadas apenas a testes, evitando acesso não autorizado a diagnósticos e interrupção de serviços
- Atualizar o SAP Business Objects para corrigir a CVE-2025-48976 (CVSS 7.5), que protege contra negação de serviço causada por componente de terceiros vulnerável a consumo descontrolado de recursos
- Realizar varreduras de vulnerabilidades em todos os sistemas SAP
- Implementar segmentação de rede para limitar o acesso aos sistemas SAP apenas a usuários e redes autorizadas, especialmente para sistemas expostos à internet
- Testar os patches em ambientes de não-produção antes de implementá-los em produção para garantir compatibilidade e estabilidade
- Monitorar logs de acesso e atividades suspeitas nos sistemas SAP, especialmente tentativas de injeção de código, desserialização maliciosa e acessos não autorizados
- Consultar as Security Notes oficiais da SAP através do Support Portal para orientações detalhadas sobre implementação e configurações de hardening recomendadas
- Não negligenciar patches de severidade média, pois ataques sofisticados podem explorar múltiplas vulnerabilidades em sequência
Fontes
Overview
SAP released its Security Patch Day for December 2025 with fixes for 14 new security vulnerabilities. The most severe flaws include CVE-2025-42880 (CVSS 9.9), which allows code injection in SAP Solution Manager, CVE-2025-55754 (CVSS 9.6) and CVE-2025-55752 (CVSS 9.6), which expose SAP Commerce Cloud through multiple vulnerabilities in the embedded Apache Tomcat, and CVE-2025-42928 (CVSS 9.1), which enables deserialization in SAP jConnect SDK for ASE.
CVE-2025-42880 is particularly critical as it allows authenticated attackers with low privileges to inject and execute arbitrary code in SAP Solution Manager (ST 720) through a remote-enabled function module that lacks proper input validation. Given the central role of SAP Solution Manager in managing SAP landscapes, this vulnerability represents a critical risk. CVE-2025-55754 in SAP Commerce Cloud (versions HY_COM 2205, COM_CLOUD 2211, and COM_CLOUD 2211-JDK21) results from multiple flaws in the embedded Apache Tomcat.
The December Patch Day also includes 5 vulnerabilities classified as high severity, as well as 6 others considered medium. SAP strongly recommends immediate application of patches through the Support Portal, as these flaws can lead to remote code execution and full system compromise.
Affected Products
| CVE | Severity | Affected Product |
|---|---|---|
| CVE-2025-42880 | Critical | SAP Solution Manager version ST 720 |
| CVE-2025-55754 | Critical | SAP Commerce Cloud versions HY_COM 2205, COM_CLOUD 2211 and COM_CLOUD 2211-JDK21 |
| CVE-2025-55752 | Critical | SAP Commerce Cloud versions HY_COM 2205, COM_CLOUD 2211 and COM_CLOUD 2211-JDK21 |
| CVE-2025-42928 | Critical | SAP jConnect SDK for ASE versions 16.0.4 and 16.1 |
| CVE-2025-42878 | High | SAP Web Dispatcher, SAP Internet Communication Manager (ICM) versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.22_EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93 and 9.16 |
| CVE-2025-42874 | High | SAP NetWeaver (remote service for Xcelsius) versions BI-BASE-E 7.50, BI-BASE-B 7.50, BI-IBC 7.50, BI-BASE-S 7.50, BIWEBAPP 7.50 |
| CVE-2025-48976 | High | SAP Business Objects versions ENTERPRISE 430, 2025, 2027 |
| CVE-2025-42877 | High | SAP Web Dispatcher, ICM and Content Server versions KRNL64UC 7.53, WEBDISP 7.53, 7.54, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, CONTSERV 7.53, 7.54, KERNEL 7.53 and 7.54 |
| CVE-2025-42876 | High | SAP S/4HANA Private Cloud - Financials General Ledger versions S4CORE 104, 105, 106, 107, 108 and 109 |
Note: The December SAP Patch Day includes 14 Security Notes in total, 6 of which are medium severity.
Recommendations
- Immediately apply security patches provided by SAP for all instances of affected products
- Urgently update SAP Solution Manager (ST 720) to fix CVE-2025-42880 and review user permissions
- Implement security fixes in SAP Commerce Cloud (versions HY_COM 2205, COM_CLOUD 2211, and COM_CLOUD 2211-JDK21) to mitigate CVE-2025-55754 and CVE-2025-55752, applying the patched version of Apache Tomcat
- Apply the patch for CVE-2025-42928 in SAP jConnect SDK for ASE (versions 16.0.4 and 16.1) to protect against insecure deserialization exploitation by users with elevated privileges
- Update SAP Web Dispatcher and ICM to fix CVE-2025-42878 (CVSS 8.2), which disables vulnerable interfaces intended only for testing, preventing unauthorized access to diagnostics and service disruption
- Update SAP Business Objects to fix CVE-2025-48976 (CVSS 7.5), which protects against denial of service caused by a third-party component vulnerable to uncontrolled resource consumption
- Conduct vulnerability scans across all SAP systems
- Implement network segmentation to limit access to SAP systems only to authorized users and networks, especially for internet-exposed systems
- Test patches in non-production environments before deploying them to production to ensure compatibility and stability
- Monitor access logs and suspicious activities on SAP systems, especially code injection attempts, malicious deserialization, and unauthorized access
- Consult official SAP Security Notes through the Support Portal for detailed guidance on implementation and recommended hardening configurations
- Do not neglect medium severity patches, as sophisticated attacks can exploit multiple vulnerabilities in sequence
Sources
Overview
SAP divulgó su Security Patch Day de diciembre 2025 con correcciones para 14 nuevas vulnerabilidades de seguridad. Las fallas más graves incluyen CVE-2025-42880 (CVSS 9.9), que permite inyección de código en SAP Solution Manager, CVE-2025-55754 (CVSS 9.6) y CVE-2025-55752 (CVSS 9.6), que exponen SAP Commerce Cloud a través de múltiples vulnerabilidades en el Apache Tomcat integrado, y CVE-2025-42928 (CVSS 9.1), que posibilita deserialización en SAP jConnect SDK for ASE.
CVE-2025-42880 es particularmente crítica ya que permite que atacantes autenticados con bajos privilegios inyecten y ejecuten código arbitrario en SAP Solution Manager (ST 720) a través de un módulo de función habilitado remotamente que carece de validación adecuada de entrada. Dado el papel central de SAP Solution Manager en la gestión de landscapes SAP, esta vulnerabilidad representa un riesgo crítico. CVE-2025-55754 en SAP Commerce Cloud (versiones HY_COM 2205, COM_CLOUD 2211 y COM_CLOUD 2211-JDK21) resulta de múltiples fallas en el Apache Tomcat incorporado.
El Patch Day de diciembre también incluye 5 vulnerabilidades clasificadas como de alta severidad, así como otras 6 consideradas medias. SAP recomienda fuertemente la aplicación inmediata de los parches a través del Support Portal, ya que tales fallas pueden llevar a la ejecución de código remoto y compromiso total de sistemas.
Productos Afectados
| CVE | Severidad | Producto Afectado |
|---|---|---|
| CVE-2025-42880 | Crítica | SAP Solution Manager versión ST 720 |
| CVE-2025-55754 | Crítica | SAP Commerce Cloud versiones HY_COM 2205, COM_CLOUD 2211 y COM_CLOUD 2211-JDK21 |
| CVE-2025-55752 | Crítica | SAP Commerce Cloud versiones HY_COM 2205, COM_CLOUD 2211 y COM_CLOUD 2211-JDK21 |
| CVE-2025-42928 | Crítica | SAP jConnect SDK for ASE versiones 16.0.4 y 16.1 |
| CVE-2025-42878 | Alta | SAP Web Dispatcher, SAP Internet Communication Manager (ICM) versiones KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.22_EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93 y 9.16 |
| CVE-2025-42874 | Alta | SAP NetWeaver (remote service for Xcelsius) versiones BI-BASE-E 7.50, BI-BASE-B 7.50, BI-IBC 7.50, BI-BASE-S 7.50, BIWEBAPP 7.50 |
| CVE-2025-48976 | Alta | SAP Business Objects versiones ENTERPRISE 430, 2025, 2027 |
| CVE-2025-42877 | Alta | SAP Web Dispatcher, ICM y Content Server versiones KRNL64UC 7.53, WEBDISP 7.53, 7.54, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, CONTSERV 7.53, 7.54, KERNEL 7.53 y 7.54 |
| CVE-2025-42876 | Alta | SAP S/4HANA Private Cloud - Financials General Ledger versiones S4CORE 104, 105, 106, 107, 108 y 109 |
Nota: El SAP Patch Day de diciembre incluye 14 Security Notes en total, siendo 6 de ellas de severidad media.
Recomendaciones
- Aplicar inmediatamente los parches de seguridad proporcionados por SAP para todas las instancias de los productos afectados
- Actualizar urgentemente SAP Solution Manager (ST 720) para corregir CVE-2025-42880 y revisar permisos de usuarios
- Implementar las correcciones de seguridad en SAP Commerce Cloud (versiones HY_COM 2205, COM_CLOUD 2211 y COM_CLOUD 2211-JDK21) para mitigar CVE-2025-55754 y CVE-2025-55752, aplicando la versión corregida de Apache Tomcat
- Aplicar el parche para CVE-2025-42928 en SAP jConnect SDK for ASE (versiones 16.0.4 y 16.1) para proteger contra explotación de deserialización insegura por usuarios con privilegios elevados
- Actualizar SAP Web Dispatcher e ICM para corregir CVE-2025-42878 (CVSS 8.2), que deshabilita interfaces vulnerables destinadas solo a pruebas, evitando acceso no autorizado a diagnósticos e interrupción de servicios
- Actualizar SAP Business Objects para corregir CVE-2025-48976 (CVSS 7.5), que protege contra denegación de servicio causada por componente de terceros vulnerable a consumo descontrolado de recursos
- Realizar escaneos de vulnerabilidades en todos los sistemas SAP
- Implementar segmentación de red para limitar el acceso a los sistemas SAP solo a usuarios y redes autorizadas, especialmente para sistemas expuestos a internet
- Probar los parches en entornos de no producción antes de implementarlos en producción para garantizar compatibilidad y estabilidad
- Monitorear logs de acceso y actividades sospechosas en los sistemas SAP, especialmente intentos de inyección de código, deserialización maliciosa y accesos no autorizados
- Consultar las Security Notes oficiales de SAP a través del Support Portal para orientación detallada sobre implementación y configuraciones de hardening recomendadas
- No descuidar parches de severidad media, ya que ataques sofisticados pueden explotar múltiples vulnerabilidades en secuencia
Fuentes
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Hub
Access our content hub and check out the latest reports and news on cybersecurity.
Access Content HubCentral de Contenidos SEK
Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder a la Central de Contenidos