CVE-2025-42922

1 minute de lecture

Mis à jour : September 12, 2025

Vulnérabilité critique dans SAP NetWeaver AS Java : Exploitation par des utilisateurs non administrateurs

Une faille de sécurité de type “insecure file operations” (CVE-2025-42922) a été identifiée dans le composant Deploy Web Service de SAP NetWeaver AS Java. Elle permet à un attaquant déjà authentifié, même avec des privilèges d’utilisateur non administrateur, de téléverser des fichiers arbitraires sur le système.

Points Clés :

Nature de la vulnérabilité : Opérations de fichiers non sécurisées.
Composant affecté : Deploy Web Service de SAP NetWeaver AS Java.
Impact : Téléversement de fichiers arbitraires par des utilisateurs non administrateurs authentifiés.

Vulnérabilité :

CVE : CVE-2025-42922

Causes :

Mécanismes de téléversement de fichiers non sécurisés au sein du Deploy Web Service.
Contrôles d’accès insuffisants (absence de validation du contrôle d’accès basé sur les rôles - RBAC).
Mauvaise gestion des requêtes multipart/form-data sans validation adéquate du type de fichier.

Recommandations :

Bien que l’article ne détaille pas explicitement les recommandations, les causes identifiées impliquent la nécessité :

De mettre en œuvre des contrôles d’accès basés sur les rôles stricts pour le composant Deploy Web Service.
De valider rigoureusement le type de fichiers téléversés.
De revoir et sécuriser les mécanismes de gestion des requêtes multipart/form-data.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-42922

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast