CVE-2025-42922
Mis à jour :
Exploitation de Vulnérabilité sur SAP NetWeaver AS Java
Une faille de sécurité, identifiée comme CVE-2025-42922, a été découverte dans le composant Deploy Web Service de SAP NetWeaver AS Java. Cette vulnérabilité permet à un attaquant, même authentifié avec des privilèges d’utilisateur non administratifs, d’uploader des fichiers de manière arbitraire sur le système.
Points Clés :
- Nature de la Vulnérabilité : Opérations de fichiers non sécurisées (insecure file operations).
- Composant Affecté : Deploy Web Service dans SAP NetWeaver AS Java.
- Impact : Permet l’upload de fichiers arbitraires par des utilisateurs peu privilégiés.
Vulnérabilité :
- CVE : CVE-2025-42922
- Cause : Mécanismes d’upload de fichiers non sécurisés et validation insuffisante du contrôle d’accès. L’absence de contrôle d’accès basé sur les rôles (RBAC) adéquat et de validation des types de fichiers dans la gestion des requêtes multipart/form-data est à l’origine du problème.
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations, la nature de la vulnérabilité suggère la nécessité de :
- Renforcer la validation des requêtes d’upload de fichiers, notamment en vérifiant les types de fichiers autorisés.
- Mettre en œuvre et appliquer strictement le contrôle d’accès basé sur les rôles (RBAC) pour limiter les actions des utilisateurs selon leurs privilèges.
- Auditer les mécanismes de traitement des fichiers dans le composant Deploy Web Service.