Het Duitse softwarebedrijf SAP waarschuwt klanten voor twee kritieke kwetsbaarheden in NetWeaver waardoor een aanvaller toegang tot systemen en afgeschermde informatie kan krijgen. Er zijn beveiligingsupdates voor de kwetsbaarheden uitgebracht, waarvan de impact op een schaal van 1 tot en met 10 met een 9.9 is beoordeeld.

SAP Netweaver is een platform voor het draaien van SAP-applicaties. De SAP NetWeaver Application Server voor ABAP (Advanced Business Application Programming) biedt de runtime omgeving en ontwikkelomgeving voor alle ABAP-programma's. Een probleem met de authenticatie (CVE-2025-0070) van de SAP NetWeaver ABAP Server en het ABAP Platform zorgt ervoor dat een geauthenticeerde aanvaller 'ongeoorloofde toegang' kan krijgen.

De tweede kritieke kwetsbaarheid, CVE-2025-0066, bevindt zich in de SAP NetWeaver Application Server voor ABAP. Het beveiligingslek zorgt ervoor dat een aanvaller toegang tot 'restricted information' kan krijgen, wat grote gevolgen voor de vertrouwelijkheid en beschikbaarheid van een applicatie kan hebben, aldus de uitleg. Securitybedrijf Onapsis stelt dat SAP-klanten de kritieke kwetsbaarheden meteen moeten patchen. Kwetsbaarheden in NetWeaver zijn in het verleden actief misbruikt bij aanvallen. Het Amerikaanse cyberagentschap CISA houdt een database bij met actief aangevallen beveiligingslekken. Daarin staan acht NetWeaver-kwetsbaarheden.