Objet: Multiples vulnérabilités dans les produits SAP

Risques

• Atteinte à la confidentialité des données
• Déni de service à distance
• Exécution de code arbitraire à distance
• Falsification de requêtes côté serveur (SSRF)
• Injection de code indirecte à distance (XSS)
• Non spécifié par l'éditeur

Systèmes affectés

• Application Server ABAP versions KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16 et 9.17 sans le dernier correctif de sécurité
• Business Objects Business Intelligence Platform versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité
• Business Objects versions ENTERPRISE 430, 2025 et 2027 sans le dernier correctif de sécurité
• Commerce Cloud versions HY_COM 2205, COM_CLOUD 2211 et COM_CLOUD 2211-JDK21 sans le dernier correctif de sécurité
• Enterprise Search pour ABAP versions SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 et SAP_BASIS 816 sans le dernier correctif de sécurité
• jConnect - SDK for ASE versions SYBASE_SOFTWARE_DEVELOPER_KIT 16.0.4 et 16.1 sans le dernier correctif de sécurité
• NetWeaver (remote service for Xcelsius) versions BI-BASE-E 7.50, BI-BASE-B 7.50, BI-IBC 7.50, BI-BASE-S 7.50 et BIWEBAPP 7.50 sans le dernier correctif de sécurité
• NetWeaver Enterprise Portal version EP-RUNTIME 7.50 sans le dernier correctif de sécurité
• NetWeaver Internet Communication Framework versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757 et SAP_BASIS 758 sans le dernier correctif de sécurité
• S/4 HANA Private Cloud (Financials General Ledger) versions S4CORE 104, 105, 106, 107, 108 et 109 sans le dernier correctif de sécurité
• SAPUI5 framework (Markdown-it component) versions SAP_UI 755, 756, 757 et 758 sans le dernier correctif de sécurité
• Solution Manager version ST 720 sans le dernier correctif de sécurité
• Web Dispatcher et Internet Communication Manager (ICM) versions KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.22_EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93 et 9.16 sans le dernier correctif de sécurité
• Web Dispatcher, Internet Communication Manager et Content Server versions KRNL64UC 7.53, WEBDISP 7.53, 7.54, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, CONTSERV 7.53, 7.54, KERNEL 7.53 et 7.54 sans le dernier correctif de sécurité

Documentation

• Bulletin de sécurité SAP december-2025 du 09 décembre 2025
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/december-2025.html
• Référence CVE CVE-2025-42872
https://www.cve.org/CVERecord?id=CVE-2025-42872
• Référence CVE CVE-2025-42873
https://www.cve.org/CVERecord?id=CVE-2025-42873
• Référence CVE CVE-2025-42874
https://www.cve.org/CVERecord?id=CVE-2025-42874
• Référence CVE CVE-2025-42875
https://www.cve.org/CVERecord?id=CVE-2025-42875
• Référence CVE CVE-2025-42876
https://www.cve.org/CVERecord?id=CVE-2025-42876
• Référence CVE CVE-2025-42877
https://www.cve.org/CVERecord?id=CVE-2025-42877
• Référence CVE CVE-2025-42878
https://www.cve.org/CVERecord?id=CVE-2025-42878
• Référence CVE CVE-2025-42880
https://www.cve.org/CVERecord?id=CVE-2025-42880
• Référence CVE CVE-2025-42891
https://www.cve.org/CVERecord?id=CVE-2025-42891
• Référence CVE CVE-2025-42896
https://www.cve.org/CVERecord?id=CVE-2025-42896
• Référence CVE CVE-2025-42904
https://www.cve.org/CVERecord?id=CVE-2025-42904
• Référence CVE CVE-2025-42928
https://www.cve.org/CVERecord?id=CVE-2025-42928
• Référence CVE CVE-2025-48976
https://www.cve.org/CVERecord?id=CVE-2025-48976
• Référence CVE CVE-2025-55752
https://www.cve.org/CVERecord?id=CVE-2025-55752
• Référence CVE CVE-2025-55754
https://www.cve.org/CVERecord?id=CVE-2025-55754