CVE-2025-42922

1 minute de lecture

Mis à jour : September 11, 2025

Exploitation de SAP NetWeaver AS Java par des opérations de fichiers non sécurisées

Une faille de sécurité, identifiée sous la référence CVE-2025-42922, a été découverte au sein du composant Deploy Web Service de SAP NetWeaver AS Java. Cette vulnérabilité permet à un utilisateur authentifié, même sans privilèges administratifs, d’envoyer des fichiers arbitraires au système.

Le problème réside dans la manière dont le Deploy Web Service traite les requêtes multipart/form-data, manquant de contrôles d’accès basés sur les rôles (RBAC) suffisants et de validation des types de fichiers. Ces lacunes ouvrent la porte à des utilisateurs faiblement privilégiés pour contourner les restrictions et charger des fichiers malveillants.

Points clés :

Nature de la vulnérabilité : Opérations de fichiers non sécurisées.
Composant affecté : Deploy Web Service dans SAP NetWeaver AS Java.
Attaquant potentiel : Utilisateur authentifié non-administratif.
Impact : Téléchargement de fichiers arbitraires sur le système.

Vulnérabilité :

CVE : CVE-2025-42922

Recommandations :

Bien que l’article ne fournisse pas explicitement de recommandations de correction, les informations présentées suggèrent la nécessité d’implémenter des contrôles d’accès basés sur les rôles robustes et une validation rigoureuse des types de fichiers pour les requêtes de téléchargement.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-42922

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast