Descoberta e panorama
O pacote de novembro inclui 18 notas novas e duas atualizações que afetam tanto componentes legados quanto modernos do ecossistema SAP. Entre os problemas mais graves estão CVE-2025-42890 (SQL Anywhere Monitor Non-GUI, SYBASE_SQL_ANY_ANYWHERE_SERVER 17.0) com CVSS 10.0, e uma atualização para CVE-2025-42944 (SAP NetWeaver AS Java, SERVERCORE 7.50), também avaliada com CVSS 10.0. Outra falha de alto impacto é CVE-2025-42887, um código‑injection em SAP Solution Manager (ST 720) com CVSS 9.9.
Abordagem técnica — vetores e vulnerabilidades listadas
O boletim consolida uma gama de classes de vulnerabilidades: insecure key & secret management (CVE-2025-42890), insecure deserialization (CVE-2025-42944), code injection (CVE-2025-42887, CVE-2025-42895), OS command injection (CVE-2025-42892), JNDI injection (CVE-2025-42884), SQL injection (CVE-2025-42889) e memory corruption (CVE-2025-42940).
O próprio resumo das notas indica produtos e versões afetadas em detalhe — exemplos extraídos do boletim:
- CVE-2025-42890 — SQL Anywhere Monitor (Non-GUI), SYBASE_SQL_ANYWHERE_SERVER 17.0 — CVSS 10.0;
- CVE-2025-42944 — SAP NetWeaver AS Java, SERVERCORE 7.50 — CVSS 10.0 (update);
- CVE-2025-42887 — SAP Solution Manager, ST 720 — CVSS 9.9;
- CVE-2025-42940 — SAP CommonCryptoLib, CRYPTOLIB 8 — CVSS 7.5 (memory corruption).
Além desses, o patch day cobre uma série de problemas de severidade média e baixa: path traversal, open redirect, reflected XSS, missing authentication e missing authorization, atingindo componentes como SAP Business Connector (BC 4.8), SAP HANA 2.0, SAP GUI for Windows, S/4HANA e SAP Fiori.
Impacto e alcance
As notas listam versões específicas e alcançam tanto instalações on‑premise quanto cenários híbridos onde componentes SAP convivem com bases de dados e camadas de integração. Vulnerabilidades com CVSS próximos de 10.0 representam risco de comprometimento remoto sem pré‑autenticação, o que pode permitir tomada completa de sistemas críticos e exposição de dados empresariais. O boletim alerta para a necessidade de priorização imediata das correções.
Mitigações citadas e recomendações
SAP orienta aplicação das correções via Support Portal. O texto-fonte recomenda também práticas operacionais: realizar varreduras de vulnerabilidade, segmentar redes e testar patches em ambientes de staging antes do rollout em produção. Essas ações são apresentadas como medidas para reduzir o risco de exploração enquanto as correções são aplicadas.
Limites das informações
O relatório consolida as notas e CVEs publicadas pela SAP; não há, no conteúdo disponibilizado, menções a exploração ativa em massa ou contagens de vítimas. Onde o boletim refere a “explorações em ambiente real” (no caso de deserialization), não são fornecidos indicadores de comprometimento detalhados ou amostras públicas no texto resumido.
Repercussão e próximos passos
Empresas que mantêm paisagens SAP devem priorizar a revisão das notas associadas (18 novas + 2 updates), mapear inventário de versões afetadas e planejar aplicação controlada das correções. A natureza das vulnerabilidades — especialmente deserialization e gestão insegura de chaves/segredos — reforça controles sobre armazenamento de credenciais, segregação de privilégios e monitoramento de execução remota.
Contexto operacional
Organizações com ambientes SAP heterogêneos (S/4HANA, NetWeaver, Business Connector, Solution Manager, SQL Anywhere, HANA) devem tratar o patch day como prioritário e coordenar ações entre times de DBA, infra e aplicação, validando mitigação em ambientes de teste antes de promover ao ambiente produtivo.
Resumo prático
- Verificar inventário e versões contra a tabela de notas;
- Priorizar CVE-2025-42890, CVE-2025-42944 e CVE-2025-42887 pela criticidade;
- Aplicar patches via Support Portal e executar validação em staging;
- Reforçar segmentação e controles de secrets management.
As fontes não trazem estimativa de número de sistemas afetados nem evidência pública de exploração ampla no momento da publicação.