S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 septembre 2025
N° CERTFR-2025-AVI-0764
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2025-AVI-0764
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version09 septembre 2025
Date de la dernière version09 septembre 2025
Source(s) Bulletin de sécurité SAP september-2025 du 09 septembre 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)
  • Non spécifié par l'éditeur

Systèmes affectés

  • Business One (SLD) versions B1_ON_HANA 10.0 et SAP-M-BO 10.0 sans le dernier correctif de sécurité
  • Business Planning and Consolidation versions BPC4HANA 200, 300, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 816, 914 et CPMBPC 810 sans le dernier correctif de sécurité
  • BusinessObjects Business Intelligence Platform versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité
  • Commerce Cloud and Datahub versions HY_COM 2205, HY_DHUB 2205, COM_CLOUD 2211 et DHUB_CLOUD 2211 sans le dernier correctif de sécurité
  • Commerce Cloud versions HY_COM 2205 et COM_CLOUD 2211 sans le dernier correctif de sécurité
  • Fiori (Launchpad) version SAP_UI 754 sans le dernier correctif de sécurité
  • Fiori App (F4044 Manage Work Center Groups) versions UIS4HOP1 600, 700, 800 et 900 sans le dernier correctif de sécurité
  • Fiori app (Manage Payment Blocks) versions S4CORE 107 et 108 sans le dernier correctif de sécurité
  • HCM (Approve Timesheets Fiori 2.0 application) version GBX01HR5 605 sans le dernier correctif de sécurité
  • HCM (My Timesheet Fiori 2.0 application) version GBX01HR5 605 sans le dernier correctif de sécurité
  • Landscape Transformation Replication Server versions DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752 et 2020 sans le dernier correctif de sécurité
  • Netweaver (RMI-P4) version SERVERCORE 7.50 sans le dernier correctif de sécurité
  • NetWeaver (Service Data Download) versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
  • NetWeaver ABAP Platform versions S4CRM 100, 200, 204, 205, 206, S4CEXT 109, BBPCRM 713 et 714 sans le dernier correctif de sécurité
  • NetWeaver and ABAP Platform (Service Data Collection) versions ST-PI 2008_1_700, 2008_1_710 et 740 sans le dernier correctif de sécurité
  • NetWeaver Application Server for ABAP (Background Processing) versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
  • NetWeaver Application Server for ABAP versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
  • NetWeaver Application Server Java version WD-RUNTIME 7.50 sans le dernier correctif de sécurité
  • NetWeaver AS for ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756 et 757 sans le dernier correctif de sécurité
  • NetWeaver AS Java (Adobe Document Service) version ADSSAP 7.50 sans le dernier correctif de sécurité
  • NetWeaver AS Java (Deploy Web Service) version J2EE-APPS 7.50 sans le dernier correctif de sécurité
  • NetWeaver AS Java (IIOP Service) version SERVERCORE 7.50 sans le dernier correctif de sécurité
  • NetWeaver versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53 et 7.54 sans le dernier correctif de sécurité
  • S/4HANA (Private Cloud or On-Premise) versions S4CORE 102, 103, 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
  • Supplier Relationship Management versions RM_SERVER 700, 701, 702, 713 et 714 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 septembre 2025
    Version initiale