Liguem a sirene, alerta de probleminha. Foto: Depositphotos.
Uma falha no S/4 Hana, a última versão do sistema de gestão da SAP, permite a invasores criar novos usuários no software, com todos os privilégios possíveis.
No jargão do mundo SAP, esse tipo de usuário é chamado “SAP_ALL” e pode manipular dados críticos tanto nas versões na nuvem como on-premise.
A falha foi reconhecida pela multinacional alemã, que deu para a mesma uma nota nota 9.9 no CVSS (Common Vulnerability Scoring System), a escala internacional usada para medir a gravidade de vulnerabilidades e vai até 10.
A boa notícia é que já existe um patch para a falha, cujo número de referência é CVE-2025-42957.
Quem descobriu o problema foi a SecurityBridge Threat Research Labs, que afirma já ter visto casos reais de ataque por meio dessa vulnerabilidade (a empresa publicou um texto e um vídeo sobre o problema).
O ataque não é dos mais complicados. Um bug no S/4 permite a chamada “injeção de código”, aceitando dados externos e os interpretando eles como código executável, em vez de tratá-los apenas como informação.
Com isso, é possível passar as checagens de autorização e criar uma porta dos fundos para o ERP, permitindo entre outras coisas roubo de dados e até a parada do software. Coisa séria.
Maurício Renner
Editor at Baguete Diário