Falha S/4: Risco de Segurança Aumentado

Uma falha no S/4 Hana, a última versão do sistema de gestão da SAP, permite a invasores criar novos usuários no software, com todos os privilégios possíveis.

No jargão do mundo SAP, esse tipo de usuário é chamado “SAP_ALL” e pode manipular dados críticos tanto nas versões na nuvem como on-premise.

A falha foi reconhecida pela multinacional alemã, que deu para a mesma uma nota 9.9 no CVSS (Common Vulnerability Scoring System), a escala internacional usada para medir a gravidade de vulnerabilidades e vai até 10.

Patch Disponível para a Falha S/4

A boa notícia é que já existe um patch para a falha, cujo número de referência é CVE-2025-42957.

Descoberta da Vulnerabilidade

Quem descobriu o problema foi a SecurityBridge Threat Research Labs, que afirma já ter visto casos reais de ataque por meio dessa vulnerabilidade (a empresa publicou um texto e um vídeo sobre o problema).

Método de Ataque

O ataque não é dos mais complicados. Um bug no S/4 permite a chamada “injeção de código”, aceitando dados externos e os interpretando como código executável, em vez de tratá-los apenas como informação.

Consequências da Falha S/4

Com isso, é possível passar as checagens de autorização e criar uma porta dos fundos para o ERP, permitindo entre outras coisas roubo de dados e até a parada do software. Coisa séria.

Conclusão sobre a Falha S/4

É crucial que as empresas que utilizam o S/4 Hana apliquem o patch o mais rápido possível para evitar possíveis ataques. A segurança dos dados deve ser sempre uma prioridade.