S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 novembre 2025
N° CERTFR-2025-AVI-0982
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits SAP

Gestion du document

Référence CERTFR-2025-AVI-0982
Titre Multiples vulnérabilités dans les produits SAP
Date de la première version12 novembre 2025
Date de la dernière version12 novembre 2025
Source(s) Bulletin de sécurité SAP november-2025 du 11 novembre 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection SQL (SQLi)
  • Non spécifié par l'éditeur

Systèmes affectés

  • Business Connector version SAP BC 4.8 sans le dernier correctif de sécurité
  • Business One (SLD) versions B1_ON_HANA 10.0 et SAP-M-BO 10.0 sans le dernier correctif de sécurité
  • CommonCryptoLib CRYPTOLIB 8 sans le dernier correctif de sécurité
  • Fiori for SAP ERP versions SAP_GWFND 740, 750, 751, 752, 753, 754, 755, 756, 757 et 758 sans le dernier correctif de sécurité
  • GUI for Windows versions BC-FES-GUI 8.00 et 8.10 sans le dernier correctif de sécurité
  • HANA 2.0 (hdbrss) version HDB 2.00 sans le dernier correctif de sécurité
  • HANA JDBC Client version HDB_CLIENT 2.0 sans le dernier correctif de sécurité
  • NetWeaver Application Server for ABAP (Migration Workbench) versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
  • NetWeaver Application Server for ABAP versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
  • NetWeaver Application Server Java versions ENGINEAPI 7.50 et EP-BASIS 7.50 sans le dernier correctif de sécurité
  • NetWeaver AS Java version SERVERCORE 7.50 sans le dernier correctif de sécurité
  • NetWeaver Enterprise Portal versions EP-BASIS 7.50 et EP-RUNTIME 7.50 sans le dernier correctif de sécurité
  • S/4HANA landscape (E-Recruiting BSP) versions S4ERECRT 100, 200, ERECRUIT 600, 603, 604, 605, 606, 616, 617, 800, 801 et 802 sans le dernier correctif de sécurité
  • S4CORE (Manage Journal Entries) versions S4CORE 104, 105, 106, 107 et 108 sans le dernier correctif de sécurité
  • Solution Manager version ST 720 sans le dernier correctif de sécurité
  • SQL Anywhere Monitor (Non-Gui) version SYBASE_SQL_ANYWHERE_SERVER 17.0 sans le dernier correctif de sécurité
  • Starter Solution (PL SAFT) versions SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720, 730, S4CORE 100, 101, 102, 103 et 104 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection SQL (SQLi).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 novembre 2025
    Version initiale