werth | SAP Security Inside – Expert insights for in-depth examinations and a robust cybersecurity.

10. Juni 202510. Juni 2025

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Juni 2025:

1. Score 9.6 (Hot News)

Nummer: 3600840

[CVE-2025-42989] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP

Im Rahmen der RFC-Eingangsverarbeitung wurde eine Schwachstelle identifiziert, die es einem authentifizierten Benutzer ermöglicht, die erforderlichen Berechtigungsprüfungen zu umgehen. Dies kann zu einer Ausweitung der Rechte führen. Sollte diese Schwachstelle erfolgreich ausgenutzt werden, könnte die Integrität und Verfügbarkeit der Anwendung erheblich beeinträchtigt werden.

2. Score 9.1 (Hot News)

Nummer: 3604119

Änderung vom 14.5.25

[CVE-2025-42999] Unsichere Deserialisierung in SAP NetWeaver (Visual Composer Development Server)

Alles klar, auf zum zweiten Text! Hier sind ein paar Optionen, die den Ton und die Struktur des Originals ändern:

Vorschlag 1: „Im Metadaten-Uploader des SAP NetWeaver Visual Composer wurde eine Schwachstelle entdeckt: Privilegierte Benutzer könnten hier manipulierte oder bösartige Inhalte hochladen. Dies könnte beim Deserialisieren potenziell die Vertraulichkeit, Integrität und Verfügbarkeit des Hostsystems gefährden.

Wichtig: Auch wenn Sie bereits Sicherheitshinweis 3594142 implementiert haben, sollten alle Kunden unbedingt auch Sicherheitshinweis 3604119 einspielen. Die Patches in 3604119 sind kumulativ und beinhalten alle notwendigen Korrekturen, die zuvor in 3594142 veröffentlicht wurden.

3. Score 8.8 (High Priority)

Nummer: 3609271

[CVE-2025-42982] Offenlegung von Informationen in SAP GRC (AC-Plug-In)

Eine Sicherheitslücke in SAP GRC ermöglicht es nicht-administrativen Benutzern, auf bestimmte Transaktionen zuzugreifen und diese auszuführen. Dadurch könnten sie die Zugangsdaten der übertragenen Systeme manipulieren oder kontrollieren. Dies hätte weitreichende und kritische Folgen für die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Anwendung.

4. Score 8.7 (High priority)

Nummer: 3474398

[CVE-2025-43010] Code-Injection-Schwachstelle in SAP S/4HANA Cloud Private Edition oder On-Premise (SCM Master Data Layer (MDL))

Dieser Sicherheitshinweis befasst sich mit zwei separaten Schwachstellen, die die SAP BusinessObjects Business Intelligence Plattform betreffen. Nachfolgend finden Sie detaillierte Informationen zu den Schwachstellen, inklusive der zugehörigen CVE- und CVSS-Daten:

Information Disclosure (CVE-2025-0061): Session-Hijacking ohne Benutzerinteraktion möglich Aufgrund einer Schwachstelle in der Informationsweitergabe kann ein nicht authentifizierter Angreifer in der SAP BusinessObjects Business Intelligence Plattform ein Session-Hijacking über das Netzwerk durchführen, ohne dass eine Benutzerinteraktion erforderlich ist. Dies ermöglicht dem Angreifer, auf Benutzerdaten in der Anwendung zuzugreifen und diese zu ändern.

CVSS: 8.7; CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

Code Injection (CVE-2025-0060): Sensible Daten durch JS-Code-Einschleusung gefährdet Die SAP BusinessObjects Business Intelligence Plattform weist eine Schwachstelle auf, die es einem authentifizierten Benutzer mit eingeschränktem Zugriff ermöglicht, schädlichen JavaScript-Code einzuschleusen. Dieser Code kann sensible Informationen vom Server auslesen und an den Angreifer übertragen. Der Angreifer könnte diese Informationen wiederum nutzen, um sich als hochprivilegierter Benutzer auszugeben, was schwerwiegende Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hätte.

CVSS: 6.5; CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Änderungsprotokoll:

v22 (aktuelle Version) – UPDATE 27. Mai 2025: Dieser SAP-Hinweis wurde mit aktualisierten Informationen zur Gültigkeit sowie zu Support Packages & Patches erneut veröffentlicht.

v20 (Initialversion für Kunden freigegeben)

5. Score 8.5 (High priority)

Nummer: 3606484

[CVE-2025-42983] Fehlende Berechtigungsprüfung in SAP Business Warehouse und SAP Basis Plug-In

Eine kritische Sicherheitslücke in SAP Business Warehouse und dem SAP Basis Plug-In erlaubt es einem authentifizierten Angreifer, beliebige SAP-Datenbanktabellen zu löschen. Dies kann zu erheblichem Datenverlust führen oder das System unbrauchbar machen. Bei erfolgreicher Ausnutzung dieser Schwachstelle ist der Angreifer in der Lage, Datenbankeinträge komplett zu entfernen, hat jedoch keinen Lesezugriff auf die Daten.

6. Score 8.2 (High Priority)

Nummer: 3590984

[CVE-2025-23192] Cross-Site-Scripting-Schwachstelle (XSS) in SAP BusinessObjects Business Intelligence (BI-Arbeitsbereich)

Im SAP BusinessObjects Business Intelligence (BI-Arbeitsbereich) wurde eine Schwachstelle entdeckt: Ein nicht authentifizierter Angreifer kann bösartige Skripte innerhalb eines Arbeitsbereichs anlegen und speichern. Sobald ein Benutzer auf diesen Arbeitsbereich zugreift, wird das Skript in seinem Browser ausgeführt. Dies könnte dem Angreifer potenziell Zugang zu sensiblen Sitzungsinformationen verschaffen und es ihm ermöglichen, Browserinformationen zu manipulieren oder unzugänglich zu machen. Die Auswirkungen sind beträchtlich für die Vertraulichkeit, jedoch geringer für die Integrität und Verfügbarkeit.

7. Score 7.7 (High Priority)

Nummer: 3591978

[CVE-2025-43011] Fehlende Berechtigungsprüfung in SAP Landscape Transformation (PCL-Basis)

Unter spezifischen Voraussetzungen versagt das PCL-Basismodul von SAP Landscape Transformation bei der Durchführung notwendiger Berechtigungsprüfungen. Dies eröffnet authentifizierten Benutzern den Zugang zu Funktionen oder Daten, die eigentlich eingeschränkt sein sollten. Die primäre Auswirkung dieser Schwachstelle liegt in einer erheblichen Beeinträchtigung der Vertraulichkeit, während die Integrität oder Verfügbarkeit der Anwendung unbeeinträchtigt bleibt.

Änderungsprotokoll:

v9 (aktuelle Version) – UPDATE 27. Mai 2025: Dieser SAP-Hinweis wurde aktualisiert und enthält nun erweiterte Informationen zur Gültigkeit sowie zu Support Packages & Patches. Die Gültigkeit für DMIS 2011_1_700, DMIS 2011_1_710, DMIS 2011_1_730 und DMIS 2011_1_731 wurde auf SP013 ausgedehnt.

v7 (Initialversion für Kunden freigegeben)

8. Score 7.6 (High Priority)

Nummer: 3610591

[CVE-2025-42977] Directory-Traversal-Schwachstelle in SAP NetWeaver Visual Composer

Im SAP NetWeaver Visual Composer wurde eine Directory-Traversal-Schwachstelle entdeckt. Diese Lücke entsteht durch eine unzureichende Überprüfung von Eingabepfaden, die von Benutzern mit weitreichenden Berechtigungen bereitgestellt werden. Ein Angreifer könnte dies ausnutzen, um beliebige Dateien zu lesen oder zu ändern. Dies hätte schwerwiegende Auswirkungen auf die Vertraulichkeit und eine geringere Beeinträchtigung der Integrität.

9. Score 7.5 (Medium Priority)

Nummer: 3610006

[CVE-2025-42994] Mehrere Schwachstellen in SAP MDM Server

Dieser Sicherheitshinweis beleuchtet drei separate Schwachstellen, die den SAP MDM Server betreffen. Nachfolgend finden Sie die Details der einzelnen Lücken, inklusive der zugehörigen CVE- und CVSS-Informationen:

Speicherbeschädigung (CVE-2025-42994) – Betroffen: ReadString-Funktion Die ReadString-Funktion des SAP MDM Servers birgt eine Anfälligkeit: Ein Angreifer kann speziell präparierte Pakete senden, die eine Verletzung des Speicher-Lesezugriffs im Serverprozess auslösen. Dies führt zum Absturz und unerwarteten Beenden des Servers, was erhebliche Auswirkungen auf die Verfügbarkeit hat, jedoch keine auf die Vertraulichkeit oder Integrität der Anwendung.

CVSS: 7.5; CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Speicherbeschädigung (CVE-2025-42995) – Betroffen: Read-Funktion Ähnlich der zuvor genannten Schwachstelle ermöglicht die Read-Funktion des SAP MDM Servers einem Angreifer, durch speziell gestaltete Pakete einen Speicher-Lesezugriffsfehler im Serverprozess zu provozieren. Auch hier führt dies zum Absturz und unerwarteten Beenden des Servers mit beträchtlichen Auswirkungen auf die Verfügbarkeit, ohne die Vertraulichkeit oder Integrität zu beeinflussen.

CVSS: 7.5; CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Unsicheres Session Management (CVE-2025-42996) Der SAP MDM Server weist eine Schwachstelle im Session Management auf. Ein Angreifer kann hierdurch die Kontrolle über bestehende Client-Sitzungen erlangen und bestimmte Funktionen ausführen, ohne sich erneut authentifizieren zu müssen. Dies könnte dem Angreifer ermöglichen, auf nicht sensible Informationen zuzugreifen oder diese zu ändern, sowie Serverressourcen zu überlasten. Die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung sind hierbei geringfügig.

CVSS: 5.6; CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

10. Score 6.7 (Medium Priority)

Nummer: 3580384

[CVE-2025-42993] Fehlende Berechtigungsprüfung in SAP S/4HANA (Bereitstellung von Unternehmens-/technischen Ereignissen)

Eine signifikante Sicherheitslücke in SAP S/4HANA (speziell bei der Bereitstellung von Unternehmens-/technischen Ereignissen) wurde entdeckt. Diese Schwachstelle beruht auf einer fehlenden Berechtigungsprüfung, die es einem Angreifer ermöglicht, mit Zugriff auf die Konfiguration von Inbound-Bindings eine RFC-Destination zu erstellen und dieser einen beliebigen, hochprivilegierten Benutzer zuzuweisen.

Durch diese Manipulation kann der Angreifer Ereignisse über die manipulierte RFC-Destination konsumieren. Dies führt zu einer Quelltextausführung unter Nutzung der Berechtigungen des zugewiesenen hochprivilegierten Benutzers. Obwohl die Auswirkungen auf die Verfügbarkeit gering sind, birgt diese Schwachstelle ein erhebliches Risiko für die Vertraulichkeit und die Integrität der Daten.

11. Score 5.8 (Medium Priority)

Nummer: 3590887

[CVE-2025-31325] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver (ABAP-Schlüsselwortdokumentation)

Eine Cross-Site-Scripting (XSS)-Schwachstelle wurde in der ABAP-Schlüsselwortdokumentation von SAP NetWeaver entdeckt. Diese Lücke erlaubt es einem nicht authentifizierten Angreifer, bösartiges JavaScript über einen ungeschützten Parameter in eine Webseite einzuschleusen. Wenn ein Opfer die betroffene Seite aufruft, wird das Skript in dessen Browser ausgeführt. Dies verschafft dem Angreifer begrenzten Zugriff auf geschützte Informationen. Wichtig ist, dass diese Schwachstelle ausschließlich im Browserkontext des Clients existiert und keine Auswirkungen auf die Datenintegrität oder -verfügbarkeit hat.

12. Score 5.8 (Medium Priority)

Nummer: 3585992

[CVE-2025-43008] Fehlende Berechtigungsprüfung in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal

Eine fehlende Berechtigungsprüfung in einem nicht näher genannten SAP-System ermöglicht es einem nicht autorisierten Benutzer, Dateien anderer Unternehmen einzusehen. Diese Schwachstelle kann zur Offenlegung personenbezogener Daten von Mitarbeitern führen. Es gibt keine Auswirkungen auf die Integrität und Verfügbarkeit der Daten.

Änderungsprotokoll:

v5 (Aktuelle Version) – UPDATE 24. Mai 2025: Dieser Hinweis wurde mit aktualisierten Informationen zur Korrekturanleitung neu veröffentlicht. Falls Sie die Patches bereits eingespielt haben, ist keine erneute Implementierung nötig.

v3 (Initialversion für Kunden freigegeben)

13. Score 5.4 (Medium Priority)

Nummer: 3441087

[CVE-2025-42984] Fehlende Berechtigungsprüfung in SAP S/4HANA (Anwendung „Zentralen Einkaufskontrakt verwalten“)

In der SAP S/4HANA-Anwendung „Zentralen Einkaufskontrakt verwalten“ wurde eine Schwachstelle bei den Berechtigungsprüfungen für authentifizierte Benutzer festgestellt. Diese Lücke ermöglicht es einem Angreifer, den Funktionsimport für die Entität auszuführen, wodurch uneingeschränkten Benutzern der Zugriff verwehrt wird. Die Auswirkungen dieser Schwachstelle auf die Vertraulichkeit und Verfügbarkeit der Anwendung sind gering.

14. Score 5.3 (Medium Priority)

Nummer: 3594258

[CVE-2025-42998] Sicherheitsschwachstelle in SAP Business One Integration Framework aufgrund einer Fehlkonfiguration

Im SAP Business One Integration Framework wurde eine Schwachstelle entdeckt: Die bestehenden Sicherheitseinstellungen werden nicht ausreichend überprüft. Dies ermöglicht es Angreifern, den „403 Forbidden“-Fehler zu umgehen und somit auf eigentlich eingeschränkte Seiten zuzugreifen. Diese Lücke hat lediglich geringe Auswirkungen auf die Vertraulichkeit der Anwendung und beeinträchtigt weder deren Integrität noch die Verfügbarkeit.

15. Score 4.3 (Medium Priority)

Nummer: 3608058

[CVE-2025-43004] Schwachstelle mit Blick auf falsche Sicherheitskonfiguration in SAP Digital Manufacturing (Production Operator Dashboard)

Die Anwendung „Bankkontenantrag“ in SAP S/4HANA führt nicht die erforderlichen Berechtigungsprüfungen durch. Dies hat zur Folge, dass ein authentifizierter „Genehmigender“ in der Lage ist, Anlagen aus dem Bankkontenantrag eines anderen Benutzers zu löschen. Diese Schwachstelle hat geringe Auswirkungen auf die Integrität der Daten, jedoch keine Auswirkungen auf deren Vertraulichkeit oder die Verfügbarkeit der Anwendung.

16. Score 4.3 (Medium Priority)

Nummer: 3558755

[CVE-2025-42987] Fehlende Berechtigungsprüfung in SAP S/4HANA („Verarbeitungsregeln verwalten – Für Kontoauszüge“)

Die Funktion „Verarbeitungsregeln verwalten – Für Kontoauszüge“ in SAP S/4HANA Finance weist eine Sicherheitslücke auf. Ein Angreifer mit grundlegenden Berechtigungen kann durch Manipulation des Anforderungsparameters geteilte Regeln beliebiger Benutzer bearbeiten. Dies ist die Folge einer fehlenden Berechtigungsprüfung, die es dem Angreifer erlaubt, Regeln zu verändern, auf die der Zugriff eigentlich eingeschränkt sein sollte. Dadurch wird die Integrität der Anwendung beeinträchtigt.

17. Score 4.3 (Medium Priority)

Nummer: 3585545

[CVE-2025-42988] Serverseitige Request-Forgery in SAP-BusinessObjects-Business-Intelligence-Plattform

Unter bestimmten Umständen ermöglicht die SAP BusinessObjects Business Intelligence Plattform einem nicht authentifizierten Angreifer, durch speziell gestaltete HTTP-Anfragen interne HTTP-Endpunkte im Netzwerk aufzulisten. Dieses Informationsleck könnte als Vorstufe für eine Serverseitige Request Forgery (SSRF) genutzt werden. Es ist wichtig zu beachten, dass diese Schwachstelle keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung hat.

18. Score 3.7 (Medium Priority)

Nummer: 3426825

[CVE-2025-23191] Cache-Vergiftung durch Header-Manipulationsschwachstelle in SAP Fiori für SAP ERP

Im SAP Fiori OData-Endpunkt für SAP ERP können Cache-Werte durch Manipulation des Host-Header-Werts in einem HTTP-GET-Request vergiftet werden. Ein Angreifer könnte so die in den zurückgegebenen Metadaten enthaltenen Werte ändern und sie vom SAP-Server auf einen schädlichen, vom Angreifer kontrollierten Link umleiten. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann geringe Auswirkungen auf die Integrität der Anwendung haben.

Änderungsprotokoll:

v11 (aktuelle Version) – UPDATE 27. Mai 2025: Dieser Hinweis wurde mit aktualisierten Informationen zur Korrekturanleitung erneut veröffentlicht.

v9 (Initialversion für Kunden freigegeben)

19. Score 3.7 (Medium Priority)

Nummer: 3601169

[CVE-2025-42990] HTML-Injection in ungeschützten SAPUI5-Anwendungen

Ungeschützte SAPUI5-Anwendungen weisen eine Schwachstelle auf: Ein Angreifer mit grundlegenden Berechtigungen kann schädlichen HTML-Code in eine Webseite einschleusen. Das Ziel ist, Benutzer auf eine vom Angreifer kontrollierte URL umzuleiten. Dieses Problem kann sich auf die Integrität der Anwendung auswirken, hat aber keine Auswirkungen auf die Vertraulichkeit oder Verfügbarkeit.

Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.

13. Mai 202513. Mai 2025

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Mai 2025:

1. Score 10 (Hot News)

Nummer: 3594142

[CVE-2025-31324] Fehlende Berechtigungsprüfung in SAP NetWeaver (Visual Composer Development Server)

Bei SAP NetWeaver Visual Composer weist der Metadaten-Uploader eine fehlende Berechtigungskontrolle auf, was es einem nicht authentifizierten Angreifer ermöglichen kann, ausführbare Binärdateien hochzuladen. Solche Dateien könnten dem Hostsystem erheblichen Schaden zufügen und dabei insbesondere die Vertraulichkeit, Integrität sowie Verfügbarkeit des betroffenen Zielsystems gefährden.

Änderungsprotokoll:

v19 (aktuelle Version) – AKTUALISIERUNG vom 13. Mai 2025: Eine zusätzliche Korrekturmaßnahme ist notwendig, um vollständigen Schutz sicherzustellen. Auch wenn der Sicherheitshinweis 3594142 bereits implementiert wurde, sollten Kunden unbedingt auch den Hinweis 3604119 anwenden.
v18 (vorherige Version) – AKTUALISIERUNG vom 1. Mai 2025: Dieser Hinweis wurde erneut veröffentlicht und enthält nun erweiterte Informationen im Abschnitt „Support Packages & Patches“. Es wurde eine zusätzliche Korrektur für Support Packages der Versionen SP020 bis SP026 bereitgestellt.
v17 (erste für Kunden freigegebene Version)

2. Score 9.9 (Hot News)

Nummer: 3604119

[CVE-2025-42999] Unsichere Deserialisierung in SAP NetWeaver (Visual Composer Development Server)

Eine Sicherheitslücke im Metadaten-Uploader von SAP NetWeaver Visual Composer erlaubt es privilegierten Nutzern, potenziell gefährliche oder nicht vertrauenswürdige Inhalte hochzuladen. Wird dieser Inhalt deserialisiert, kann dies unter Umständen erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Hostsystems haben.

Hinweis: Kunden, die bereits den Sicherheitshinweis 3594142 umgesetzt haben, sollten zusätzlich auch den hier beschriebenen Hinweis (3604119) berücksichtigen.

3. Score 8.6 (High Priority)

Nummer: 3578900

[CVE-2025-30018] Mehrere Schwachstellen in SAP Supplier Relationship Management (Live Auction Cockpit)

In diesem Sicherheitshinweis werden fünf kritische Schwachstellen in SAP Supplier Relationship Management (SRM) beschrieben. Weitere Details zu den einzelnen Sicherheitslücken sowie die zugehörigen CVE- und CVSS-Informationen finden Sie nachfolgend:

Blind XML External Entity (XXE) [CVE-2025-30018]: Das Live Auction Cockpit von SAP SRM enthält eine Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglicht, eine manipulierte XML-Datei zu senden. Dadurch erhält der Angreifer beim Parsen der Datei Zugang zu vertraulichen Systemdateien und Daten. Diese Lücke gefährdet vor allem die Vertraulichkeit, hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.
CVSS: 8.6; CVSS:3.0/ AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Reflected-Cross-Site-Scripting (XSS) [CVE-2025-30009]: Eine veraltete Java-Applet-Komponente im Live Auction Cockpit von SAP SRM erlaubt es einem nicht authentifizierten Angreifer, schädlichen JavaScript-Code im Browser des Opfers auszuführen. Dies hat geringe Auswirkungen auf die Vertraulichkeit und Integrität innerhalb des Browsers, jedoch keine auf die Verfügbarkeit der Anwendung.
CVSS: 6.1; CVSS:3.0/ AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Offene Weiterleitung (Open Redirect) [CVE-2025-30010]: Auch hier führt die veraltete Java-Applet-Komponente dazu, dass ein nicht authentifizierter Angreifer einen Link erstellt, der den Nutzer auf eine schadhafte Website umleitet, wenn er angeklickt wird. Dies hat nur geringe Auswirkungen auf Vertraulichkeit und Integrität, während die Verfügbarkeit der Anwendung nicht beeinträchtigt wird.
CVSS: 6.1; CVSS:3.0/ AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Offenlegung von Informationen [CVE-2025-30011]: Durch die Nutzung einer veralteten Java-Applet-Komponente im Live Auction Cockpit von SAP SRM könnte ein Angreifer eine bösartige Anfrage senden, die interne Versionsdetails des Systems preisgibt. Diese Schwachstelle betrifft vor allem die Vertraulichkeit, hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit.
CVSS: 5.3; CVSS:3.0/ AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Unsichere Deserialisierung [CVE-2025-30012]: Ein Angreifer mit hohen Berechtigungen könnte über das Live Auction Cockpit von SAP SRM eine unsichere Deserialisierung von Daten auslösen, indem er eine bösartige Payload-Anforderung sendet. Diese Schwachstelle hat geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
CVSS: 3.9; CVSS:3.0/ AV:A/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:L

4. Score 8.3 (High priority)

Nummer: 3600859

[CVE-2025-43010] Code-Injection-Schwachstelle in SAP S/4HANA Cloud Private Edition oder On-Premise (SCM Master Data Layer (MDL))

In SAP S/4HANA Cloud Private Edition sowie der On-Premise-Version (SCM Master Data Layer, MDL) besteht eine Sicherheitslücke, die es einem authentifizierten Angreifer mit SAP-Standardberechtigungen ermöglicht, einen spezifischen Funktionsbaustein aus der Ferne auszuführen. Auf diese Weise könnte er beliebige ABAP-Programme, einschließlich der SAP-Standardprogramme, überschreiben. Das Problem resultiert aus fehlender Eingabevalidierung und unzureichenden Berechtigungsprüfungen. Diese Schwachstelle hat nur geringe Auswirkungen auf die Vertraulichkeit, beeinträchtigt jedoch die Integrität und Verfügbarkeit der Anwendung erheblich.

5. Score 7.9 (High priority)

Nummer: 3586013

[CVE-2025-43000] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform (Hochstufungsverwaltungs-Assistent)

Unter bestimmten Umständen ermöglicht der Hochstufungsverwaltungs-Assistent einem Angreifer den Zugriff auf Informationen, der normalerweise eingeschränkt wäre. Diese Schwachstelle hat nur minimale Auswirkungen auf die Vertraulichkeit, beeinträchtigt jedoch weder die Integrität noch die Verfügbarkeit der Anwendung.

6. Score 7.7 (High Priority)

Nummer: 3590984

[CVE-2024-39592] Fehlende Berechtigungsprüfung in SAP PDCE

In SAP PDCE fehlen bei bestimmten Elementen die erforderlichen Berechtigungsprüfungen für authentifizierte Benutzer, was zu einer möglichen Rechteausweitung führt.

Dies ermöglicht einem Angreifer den Zugriff auf vertrauliche Informationen, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat.

Änderungsprotokoll:

v19 (aktuelle Version) – UPDATE vom 13. Mai 2025: Der SAP-Hinweis wurde mit neuen Informationen zur Korrektur freigegeben. SAP hat Korrekturen für SEM-BW 600 SP01 bis SP015 bereitgestellt, wodurch aufwendige vorausgesetzte SAP-Hinweise vermieden werden können.
v15 (vorherige Version) – UPDATE vom 11. März 2025: Dieser SAP-Hinweis wurde mit aktualisierten Korrekturanleitungsinformationen erneut veröffentlicht. SAP hat die Korrekturen für SEM-BW 602, 603 und 604 bereitgestellt, um komplexe vorausgesetzte SAP-Hinweise zu umgehen.
v11 (vorherige Version) – UPDATE vom 12. November 2024: Dieser SAP-Hinweis wurde mit aktualisierten Korrekturanleitungsinformationen veröffentlicht. SAP hat die Korrekturen für SEM-BW 600 bereitgestellt.
v9 (vorherige Version) – UPDATE vom 25. September 2024: Der SAP-Hinweis wurde mit neuen Korrekturanleitungsinformationen freigegeben. SAP hat Korrekturen für SEM-BW 602 bis SEM-BW 748 bereitgestellt.
v7 (erste Version freigegeben)

7. Score 7.7 (High Priority)

Nummer: 3591978

[CVE-2025-43011] Fehlende Berechtigungsprüfungen in SAP Landscape Transformation (PCL Basis)

Das PCL-Basis-Modul von SAP Landscape Transformation führt unter bestimmten Umständen keine erforderlichen Berechtigungsprüfungen durch, wodurch authentifizierte Benutzer unberechtigten Zugriff auf eingeschränkte Funktionen oder Daten erhalten können. Diese Schwachstelle kann erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung haben, hat jedoch keinen Einfluss auf deren Integrität oder Verfügbarkeit.

8. Score 6.6 (High Priority)

Nummer: 3577300

[CVE-2025-42997] Offenlegung von Informationen in SAP Gateway Client

Der SAP Gateway Client erlaubt es unter bestimmten Bedingungen einem Benutzer mit erweiterten Berechtigungen, auf Informationen zuzugreifen, die normalerweise außerhalb des Anwendungsumfangs liegen. Durch den möglichen Missbrauch der offengelegten Daten, der das Anwendungsverhalten oder die Performance beeinflussen könnte, entstehen geringfügige Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit.

9. Score 6.4 (Medium Priority)

Nummer: 3596033

[CVE-2025-43003] Schwachstelle bezüglich der Offenlegung von Informationen in SAP S/4HANA (Private Cloud und On-Premise)

Ein authentifizierter Angreifer mit fundiertem Wissen über die Anwendung kann in SAP S/4HANA ein Feld konfigurieren, auf das er normalerweise keinen Zugriff haben sollte, und ein benutzerdefiniertes UI-Layout erstellen, das dieses Feld anzeigt. Durch die Ausführung dieses Vorgangs könnte der Angreifer Zugang zu hochsensiblen Informationen erlangen. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit, während die Integrität und Verfügbarkeit der Anwendung nur geringfügig betroffen sind.

10. Score 6.3 (Medium Priority)

Nummer: 3571093

[CVE-2025-43007] Fehlende Berechtigungsprüfung im Ersatzteilmanagement (SPM)

Das Ersatzteilmanagement (SPM) führt für einen authentifizierten Benutzer nicht die erforderlichen Berechtigungsprüfungen durch, sodass ein Angreifer Berechtigungen eskalieren kann. Dies wirkt sich in geringem Maße auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung aus.

11. Score 6.3 (Medium Priority)

Nummer: 2491817

[CVE-2025-43009] Fehlende Berechtigungsprüfung im Ersatzteilmanagement (SPM)

Im Ersatzteilmanagement (SPM) werden die notwendigen Berechtigungsprüfungen für authentifizierte Benutzer nicht durchgeführt, wodurch ein Angreifer Berechtigungen eskalieren und erweiterten Zugriff erlangen kann. Dies hat nur geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

12. Score 6.2 (Medium Priority)

Nummer: 3577287

[CVE-2025-31329] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP und ABAP-Plattform

SAP NetWeaver weist eine Schwachstelle auf, die zu einer Offenlegung von Informationen führt. Diese wird durch das Einschleusen schadhafter Anweisungen in die Benutzerkonfigurationseinstellungen verursacht. Ein Angreifer mit Administratorrechten kann diese Anweisungen so manipulieren, dass beim Zugriff durch das Opfer sensible Informationen, wie etwa Benutzeranmeldedaten, offengelegt werden. Diese Anmeldeinformationen könnten dann für unbefugten Zugriff auf lokale oder benachbarte Systeme genutzt werden. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit, jedoch keine wesentlichen Auswirkungen auf die Integrität oder Verfügbarkeit.

13. Score 6.1 (Medium Priority)

Nummer: 3588455

[CVE-2025-43006] Cross-Site-Scripting-(XXS-)Schwachstelle in SAP Supplier Relationship Management (Stammdatenmanagementkatalog)

Im SAP Supplier Relationship Management (Stammdatenmanagementkatalog) besteht die Möglichkeit für einen nicht authentifizierten Angreifer, schadhafter JavaScript-Code in der Anwendung auszuführen, was zu einer Cross-Site-Scripting-(XSS)-Schwachstelle führen könnte. Diese Lücke beeinträchtigt die Verfügbarkeit der Anwendung nicht, hat jedoch minimale Auswirkungen auf die Vertraulichkeit und Integrität.

14. Score 5.8 (Medium Priority)

Nummer: 3585992

[CVE-2025-43008] Fehlende Berechtigungsprüfung in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal

Wegen einer fehlenden Berechtigungsprüfung könnte ein nicht autorisierter Benutzer auf die Dateien eines anderen Unternehmens zugreifen. Dies würde die Offenlegung personenbezogener Mitarbeiterdaten zur Folge haben. Auswirkungen auf die Integrität und Verfügbarkeit gibt es jedoch keine.

15. Score 5.3 (Medium Priority)

Nummer: 3571096

[CVE-2025-43004] Schwachstelle mit Blick auf falsche Sicherheitskonfiguration in SAP Digital Manufacturing (Production Operator Dashboard)

Wegen einer fehlerhaften Sicherheitskonfiguration besteht die Möglichkeit, dass Kunden Production Operator Dashboards (PODs) erstellen, die es externen Benutzern erlauben, auf Kundendaten zuzugreifen. Da es an Mechanismen zur Erzwingung der Authentifizierung fehlt, können unautorisierte, böswillige Benutzer sensible Kundeninformationen einsehen. Allerdings hat dies keinerlei Auswirkungen auf die Integrität oder Verfügbarkeit der Daten.

16. Score 4.4 (Medium Priority)

Nummer: 3558755

[CVE-2025-26662] Cross-Site-Scripting-(XSS)-Schwachstelle in Management Console von SAP Data Services

In der Management Console von SAP Data Services werden benutzergesteuerte Eingaben nicht ausreichend kodiert, was es einem Angreifer ermöglicht, schadhafter Code einzuschleusen. Wenn ein gezieltes, bereits angemeldetes Opfer auf den manipulierten Link klickt, wird das injizierte Skript im Browser des Opfers ausgeführt. Dies könnte Auswirkungen auf die Vertraulichkeit und Integrität haben, wobei die Verfügbarkeit nicht betroffen ist.

17. Score 4.3 (Medium Priority)

Nummer: 3574520

[CVE-2025-43005] Schwachstelle bezüglich der Offenlegung von Informationen in SAP GUI for Windows

Ein nicht authentifizierter Angreifer kann in SAP GUI for Windows unsichere Verschleierungsalgorithmen ausnutzen, die von der GuiXT-Anwendung zum Speichern von Benutzeranmeldeinformationen verwendet werden. Dieses Problem hat keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung, könnte jedoch geringe Auswirkungen auf die Vertraulichkeit der Daten haben.

18. Score 4.3 (Medium Priority)

Nummer: 3227940

[CVE-2025-43002] Fehlende Berechtigungsprüfung in SAP S4/HANA (OData-Metadateneigenschaft)

Durch die OData-Metadateneigenschaft von SAP S4CORE kann ein authentifizierter Angreifer aufgrund einer fehlenden Berechtigungsprüfung auf eingeschränkte Informationen zugreifen. Dies hat nur geringe Auswirkungen auf die Vertraulichkeit der Anwendung, während Integrität und Verfügbarkeit der Anwendung unbeeinträchtigt bleiben.

28. April 202528. April 2025

Nachtrag zu den Patches April `25

´SAP hat eine wichtige Ergänzung zu den Security Notes vom April 2025 herausgebracht:

1. Score 10 (Hot News)

Nummer: 3594142

[CVE-2025-31324] Fehlende Berechtigungsprüfung in SAP NetWeaver (Visual Composer Development Server)

Im SAP NetWeaver Visual Composer ist der Metadaten-Uploader nicht ausreichend durch Berechtigungen abgesichert. Dadurch kann ein nicht authentifizierter Akteur potenziell schädliche ausführbare Binärdateien hochladen, die das Hostsystem gravierend beeinträchtigen könnten. Dies stellt eine erhebliche Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Zielsystems dar.

2. Score 9.9 (Hot News)

Nummer: 3587115

[CVE-2025-31330] Code-Injection-Schwachstelle in SAP Landscape Transformation (Analyseplattform)

SAP Landscape Transformation (SLT) weist eine Schwachstelle im über RFC erreichbaren Funktionsbaustein auf, die von einem Angreifer mit entsprechenden Benutzerberechtigungen ausgenutzt werden kann. Dadurch ist es möglich, beliebigen ABAP-Code in das System einzuschleusen und wesentliche Berechtigungsprüfungen zu umgehen. Diese Sicherheitslücke wirkt faktisch wie eine Hintertür und birgt das Risiko eines vollständigen Systemkompromisses, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich gefährdet werden.

Änderungsprotokoll:

v9 (aktuelle Version) – Aktualisiert am 22. April 2025: Der Hinweis wurde mit aktualisierten Informationen zur Korrekturanleitung erneut veröffentlicht. Korrekturen für DMIS 2018 und DMIS 2020 sind nun verfügbar.
v7 (Vorversion) – Aktualisiert am 14. April 2025: Aktualisierte Informationen zur Korrekturanleitung hinzugefügt.
v5 (Initialversion) – Erste Veröffentlichung für Kunden.

3. Score 9.9 (Hot News)

Nummer: 3581961

[CVE-2025-27429] Code-Injection-Schwachstelle in SAP S/4HANA (Private Cloud oder On-Premise)

SAP S/4HANA enthält eine Schwachstelle in einem über RFC exponierten Funktionsbaustein, die von einem Angreifer mit Benutzerberechtigungen ausgenutzt werden kann. Dadurch besteht die Möglichkeit, beliebigen ABAP-Code in das System einzuschleusen und grundlegende Berechtigungsprüfungen zu umgehen. Diese Sicherheitslücke fungiert praktisch als Hintertür und birgt das Risiko einer vollständigen Kompromittierung des Systems, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit erheblich beeinträchtigt werden können.

Änderungsprotokoll:

v4 (aktuelle Version) – Aktualisiert am 14. April 2025: Der SAP-Hinweis wurde mit überarbeiteten Informationen zur Gültigkeit erneut veröffentlicht.
v3 (Initialversion) – Erste Freigabe für Kunden.

4. Score 4.6 (Medium Priority)

Nummer: 3446649

[CVE-2025-31328] Cross-Site-Request-Forgery-Schwachstelle (CSRF) in SAP S/4HANA (Learning Solution)

SAP Learning Solution weist eine Anfälligkeit für Cross-Site Request Forgery (CSRF) auf, durch die ein Angreifer authentifizierte Benutzer dazu verleiten kann, unbeabsichtigte Anfragen an den Server zu senden. Dabei ist insbesondere die GET-basierte OData-Funktion betroffen, deren Benennung das erwartete Verhalten unterläuft. Diese Schwachstelle kann die Vertraulichkeit und Integrität der Anwendung beeinträchtigen, ohne Auswirkungen auf deren Verfügbarkeit zu haben.

5. Score 4.3 (Medium Priority)

Nummer: 3446649

[CVE-2025-31327] OData-Metadateneigenschafts-Entitätsmanipulation in SAP Field Logistics

Die OData-Metadateneigenschaft der Anwendung „Logistik verwalten“ in SAP Field Logistics ist anfällig für Datenmanipulation. Dadurch können bestimmte Felder von einem externen Angreifer verändert werden, was eine geringe Beeinträchtigung der Integrität der Anwendung zur Folge hat. Die Vertraulichkeit und Verfügbarkeit bleiben davon unberührt.

Hinweis:

WARNUNG: Dies ist ein CA-FL-spezifischer Hinweis (Field Logistics). Wenn Feldlogistik in Ihrem System nicht aktiviert ist, ist dieser Hinweis für Sie nicht relevant.

8. April 20258. April 2025

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für April 2025:

1. Score 9.9 (Hot News)

Nummer: 3581961

[CVE-2025-30016] Schwachstelle bezüglich Authentifizierungsumgehung in SAP Financial Consolidation

Durch eine Schwachstelle im über RFC zugänglichen Funktionsbaustein kann ein Angreifer mit entsprechenden Benutzerrechten SAP S/4HANA kompromittieren. Die Lücke erlaubt es, beliebigen ABAP-Code in das System einzuschleusen und dabei zentrale Berechtigungsprüfungen zu umgehen. Diese Sicherheitslücke stellt eine potenzielle Hintertür dar, über die ein vollständiger Systemkompromiss möglich ist – mit gravierenden Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

2. Score 9.9 (Hot News)

Nummer: 3587115

[CVE-2025-31330] Code-Injection-Schwachstelle in SAP Landscape Transformation (Analysis Platform)

Ein Angreifer mit entsprechenden Benutzerrechten kann über die SAP Landscape Transformation (SLT) eine Schwachstelle im Funktionsbaustein, der über RFC exponiert ist, ausnutzen. Dadurch ist es möglich, beliebigen ABAP-Code in das System einzuschleusen, wobei wichtige Berechtigungsprüfungen umgangen werden. Diese Sicherheitslücke wirkt wie eine Hintertür und stellt eine Gefahr für den gesamten Systembetrieb dar, da sie das Risiko eines vollständigen Systemkompromisses mit sich bringt und die Vertraulichkeit, Integrität sowie Verfügbarkeit des Systems gefährdet.

3. Score 9.8 (Hot News)

Nummer: 3572688

[CVE-2025-30016] Schwachstelle bezüglich Authentifizierungsumgehung in SAP Financial Consolidation

Durch unsachgemäße Authentifizierungsmechanismen in SAP Financial Consolidation kann ein nicht authentifizierter Angreifer unbefugten Zugriff auf das Administratorkonto erlangen. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

4. Score 8.8 (High priority)

Nummer: 3525794

[CVE-2025-0064] Falsche Berechtigung in SAP-BusinessObjects-Business-Intelligence-Plattform

Ein Angreifer mit gültigen Benutzerrechten kann unter bestimmten Voraussetzungen die SAP BusinessObjects Business Intelligence Plattform ausnutzen, um eine geheime Kennphrase zu erstellen oder auszulesen. Dadurch ist es ihm möglich, sich über lokalen Zugriff auf das Zielsystem als beliebiger Benutzer auszugeben. Diese Schwachstelle kann die Vertraulichkeit sowie die Integrität der Anwendung erheblich gefährden.

Änderungsprotokoll:

v9 (aktuelle Version) – UPDATE vom 8. April 2025: Der SAP-Hinweis wurde erneut veröffentlicht. Dabei wurden kleinere Anpassungen an den Abschnitten „Symptom“ und „Lösung“ vorgenommen; auch die CVSS-Vektoren erhielten ein Update.

v6 (freigegebene Erstversion für Kunden)

5. Score 8.5 (High priority)

Nummer: 3554667

[CVE-2025-23186] Schwachstelle mit Blick auf gemischte dynamische RFC-Destinationen über Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

SAP NetWeaver Application Server ABAP weist unter bestimmten Voraussetzungen eine Schwachstelle auf, die es einem authentifizierten Angreifer erlaubt, einen Remote Function Call (RFC) an geschützte Zielsysteme zu senden. Dabei können Anmeldeinformationen für einen Remote-Service übermittelt werden. Diese Informationen lassen sich anschließend missbrauchen, um den betreffenden Remote-Service vollständig zu kompromittieren – mit potenziell gravierenden Folgen für Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

6. Score 8.1 (High Priority)

Nummer: 3590984

[CVE-2024-56337] Time-of-Check Time-of-Use (TOCTOU) Race Condition Schwachstelle in Apache Tomcat in SAP Commerce Cloud

In SAP Commerce Cloud kommt eine Apache-Tomcat-Version zum Einsatz, die von einer TOCTOU-Race-Condition betroffen ist (CVE-2024-56337).

Ein nicht authentifizierter Angreifer kann diese Schwachstelle unter bestimmten Voraussetzungen ausnutzen. Bei erfolgreicher Ausnutzung besteht das Risiko einer vollständigen Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems. Der Angriffserfolg hängt jedoch von einer spezifischen Serverkonfiguration ab, die sich der Kontrolle des Angreifers entzieht – ein unmittelbarer Angriff auf SAP Commerce ist daher nicht ohne Weiteres möglich.

7. Score 7.7 (High Priority)

Nummer: 3581811

[CVE-2025-27428] Directory-Traversal-Schwachstelle in SAP NetWeaver und ABAP-Plattform (Servicedatensammlung)

Durch eine Directory-Traversal-Schwachstelle innerhalb eines RFC-fähigen Funktionsbausteins ist es einem autorisierten Angreifer möglich, auf sensible Informationen zuzugreifen. Gelingt der Angriff, kann der Angreifer Dateien aus beliebigen, mit dem SAP Solution Manager verbundenen Systemen auslesen. Dies stellt ein erhebliches Risiko für die Vertraulichkeit dar. Die Integrität und Verfügbarkeit der Systeme bleiben dabei jedoch unbeeinträchtigt.

8. Score 7.7 (High Priority)

Nummer: 2927164

[CVE-2025-30014] Directory-Traversal-Schwachstelle in SAP Capital Yield Tax Management

Aufgrund mangelnder Pfadvalidierung besteht in SAP Capital Yield Tax Management eine Directory-Traversal-Schwachstelle. Ein Angreifer mit nur eingeschränkten Rechten kann dadurch unter Umständen Dateien auslesen, die sich außerhalb seines eigentlichen Zugriffsbereichs befinden. Diese Sicherheitslücke gefährdet in erheblichem Maß die Vertraulichkeit der Daten, während Integrität und Verfügbarkeit unberührt bleiben.

9. Score 6.8 (Medium Priority)

Nummer: 3543274

[CVE-2025-26654] Potenzielle Schwachstelle bei Offenlegung von Informationen in SAP Commerce Cloud (Public Cloud)

In der Public-Cloud-Variante von SAP Commerce Cloud ist es nicht möglich, unverschlüsselten HTTP-Verkehr (Port 80) vollständig zu deaktivieren. Stattdessen wird eine automatische Weiterleitung von HTTP (Port 80) auf HTTPS (Port 443) vorgenommen, wodurch die Kommunikation in der Regel über eine sichere Verbindung erfolgt. Dennoch kann die Vertraulichkeit und Integrität sensibler Daten gefährdet sein – insbesondere dann, wenn der Client so konfiguriert ist, dass er initial über HTTP kommuniziert und bereits mit der ersten Anfrage vertrauliche Informationen überträgt, bevor die Umleitung greift.

10. Score 6.7 (Medium Priority)

Nummer: 3571093

[CVE-2025-30013] Code-Injection-Schwachstelle in SAP ERP BW Business Content

Bestimmte Funktionsbausteine in SAP ERP BW Business Content weisen eine Schwachstelle auf, die die Einschleusung von Betriebssystembefehlen (BS-Befehlen) ermöglicht. Werden diese Bausteine mit erweiterten Berechtigungen ausgeführt, erfolgt keine ausreichende Validierung der Benutzereingaben. Dadurch kann ein Angreifer durch lokalen Zugriff auf das Zielsystem beliebige OS-Befehle einschleusen. Dies kann zur Ausführung unerwünschter Kommandos im zugrunde liegenden System führen und stellt ein ernstzunehmendes Risiko für Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung dar.

11. Score 6.6 (Medium Priority)

Nummer: 3565751

[CVE-2025-31332] Schwachstelle mit Blick auf unsicheren Dateiberechtigungen in SAP-BusinessObjects-Business-Intelligence-Plattform

In der SAP BusinessObjects Business Intelligence Plattform können unsichere Dateiberechtigungen dazu führen, dass ein Angreifer mit lokalem Zugriff Systemdateien manipuliert. Solche Änderungen könnten zu Betriebsstörungen oder Ausfällen von Diensten führen, was erhebliche Auswirkungen auf die Integrität und Verfügbarkeit des Systems haben kann. Die Vertraulichkeit bleibt in diesem Fall jedoch gewahrt, da keine sensiblen Informationen offengelegt werden.

12. Score 5.3 (Medium Priority)

Nummer: 3568307

[CVE-2025-26657] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP KMC WPC

Durch eine einfache Parameterabfrage kann ein nicht authentifizierter Angreifer in SAP KMC WPC remote auf Benutzernamen zugreifen. Dies führt zur Offenlegung sensibler Informationen und stellt ein geringfügiges Risiko für die Vertraulichkeit der Anwendung dar. Die Integrität und Verfügbarkeit bleiben von dieser Schwachstelle unberührt.

13. Score 4.7 (Medium Priority)

Nummer: 3559307

[CVE-2025-26653] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP (Anwendungen auf der Basis von SAP GUI for HTML)

In SAP NetWeaver Application Server ABAP werden benutzergesteuerte Eingaben nicht ausreichend codiert, was eine Cross-Site-Scripting-Schwachstelle (XSS) zur Folge hat. Ein Angreifer kann dadurch, auch ohne spezielle Berechtigungen, schädlichen JavaScript-Code in eine Webseite einschleusen. Sobald ein Nutzer die manipulierte Seite aufruft, wird das Skript im Kontext des Benutzerbrowsers ausgeführt – was potenziell die Vertraulichkeit und Integrität der Sitzung beeinträchtigen kann. Die Verfügbarkeit des Systems bleibt davon unberührt.

14. Score 4.4 (Medium Priority)

Nummer: 3558864

[CVE-2025-30017] Fehlende Berechtigungsprüfung in SAP Solution Manager

SAP Solution Manager 7.1 weist eine fehlende Berechtigungsprüfung auf, die es einem authentifizierten Angreifer erlaubt, eine Datei als Vorlage in der Lösungsdokumentation hochzuladen. Wird diese Schwachstelle ausgenutzt, kann der Angreifer die Integrität und Verfügbarkeit der Anwendung in begrenztem Umfang beeinflussen.

15. Score 4.3 (Medium Priority)

Nummer: 3525971

[CVE-2025-31333] OData-Metadatenmanipulation in SAP-S4CORE-Entität

Die OData-Metadateneigenschaft in SAP S4CORE ist anfällig für Manipulation, wodurch ein externer Angreifer Änderungen an der Entitätsmenge vornehmen kann. Diese Schwachstelle beeinträchtigt in geringem Maße die Integrität der Anwendung. Vertraulichkeit und Verfügbarkeit bleiben dabei unangetastet.

16. Score 4.3 (Medium Priority)

Nummer: 3557131

[CVE-2025-23188] Fehlende Berechtigungsprüfung in SAP S/4HANA (RBD)

Durch das Ausnutzen einer fehlenden Berechtigungsprüfung in einem IBS-Modul von FS-RBD kann ein authentifizierter Benutzer mit geringen Berechtigungen unautorisierten Zugriff auf Aktionen erlangen, die über die vorgesehenen Berechtigungen hinausgehen. Diese Schwachstelle hat nur geringe Auswirkungen auf die Integrität der Anwendung, ohne jedoch die Vertraulichkeit oder Verfügbarkeit zu beeinträchtigen.

17. Score 4.3 (Medium Priority)

Nummer: 3568778

[CVE-2025-27437] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server ABAP (Virenprüfungsschnittstelle)

In der Virenprüfungsschnittstelle von SAP NetWeaver Application Server ABAP fehlt eine notwendige Berechtigungsprüfung. Dadurch ist es einem authentifizierten, jedoch nicht administrativen Benutzer möglich, eine bestimmte Transaktion zu starten. Infolge dessen kann er auf nicht sensible Daten zugreifen – ohne zusätzliche Berechtigungen und ohne die Verfügbarkeit des Systems zu beeinträchtigen. Eine Änderung der Daten ist jedoch nicht möglich.

18. Score 4.2 (Medium Priority)

Nummer: 3539465

[CVE-2025-27435] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

In SAP Commerce können unter bestimmten Umständen Coupon-Codes von Kunden über URL-Parameter innerhalb einer Kampagnen-URL ungeschützt offengelegt werden. Ein nicht authentifizierter Angreifer könnte auf diese Weise Zugang zu solchen Codes erhalten und sie missbräuchlich verwenden. Dies beeinträchtigt in geringem Maße sowohl die Vertraulichkeit als auch die Integrität der Anwendung.

19. Score 4.1 (Medium Priority)

Nummer: 3565944

[CVE-2025-30015] Speicherbeschädigungsschwachstelle in SAP NetWeaver und ABAP-Plattform (Application Server ABAP)

Eine fehlerhafte Behandlung von Speicheradressen in ABAP SQL innerhalb von SAP NetWeaver und der ABAP-Plattform (Application Server ABAP) ermöglicht es einem autorisierten Angreifer mit weitreichenden Rechten, bestimmte Arten von SQL-Abfragen durchzuführen. Dabei kann der Inhalt der Ausgabevariable manipuliert werden. Diese Schwachstelle hat eine geringe Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

11. März 202511. März 2025

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für März 2025:

1. Score 8.8 (High Priority)

Nummer: 3569602

[CVE-2025-27434] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Commerce (Swagger-UI)

Durch eine unzureichende Validierung der Eingaben besteht in SAP Commerce (Swagger-UI) die Möglichkeit für einen nicht authentifizierten Angreifer, schädlichen Code aus entfernten Quellen einzuschleusen. Dieser kann dann für einen Cross-Site-Scripting-Angriff (XSS) genutzt werden, was schwerwiegende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Daten innerhalb von SAP Commerce haben kann.

2. Score 8.8 (High Priority)

Nummer: 3563927

[CVE-2025-26661] Fehlende Berechtigungsprüfung in SAP NetWeaver (ABAP Class Builder)

In SAP NetWeaver (ABAP Class Builder) fehlt eine notwendige Berechtigungsprüfung, die es einem Angreifer ermöglicht, unrechtmäßig höhere Zugriffsebenen zu erlangen. Dies kann zu einer unautorisierten Erweiterung der Rechte führen. Sollte dieser Angriff erfolgreich sein, könnte er die Offenlegung sensibler Daten zur Folge haben und die Integrität sowie Verfügbarkeit der Anwendung erheblich beeinträchtigen.

3. Score 8.6 (High priority)

Nummer: 3566851

[CVE-2024-38286] Mehrere Schwachstellen in Apache Tomcat in SAP Commerce Cloud

Die verwendete Version von Apache Tomcat in SAP Commerce Cloud könnte anfällig für DOS-Angriffe (CVE-2024-38286) sowie für ungeprüfte Fehlerbedingungen (CVE-2024-52316) sein. Damit diese Schwachstellen ausgenutzt werden können, müssen jedoch zunächst die in den CVEs beschriebenen Voraussetzungen erfüllt sein.

4. Score 6.8 (Medium priority)

Nummer: 3567974

[CVE-2025-26658] Fehlerhafte Authentifizierung in SAP Business One (Serviceschicht)

In der Serviceschicht von SAP Business One besteht die Möglichkeit für Angreifer, unberechtigten Zugang zu erlangen und sich als andere Benutzer auszugeben, um unautorisierte Aktionen durchzuführen. Durch ein missbräuchliches Session-Management könnten Angreifer ihre Berechtigungen erhöhen und damit Daten lesen, ändern oder schreiben. Obwohl es viel Zeit und Mühe erfordert, Zugriff auf authentifizierte Sitzungen anderer Benutzer zu erlangen, hat diese Schwachstelle erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, während die Verfügbarkeit der Anwendung nicht betroffen ist.

5. Score 6.1 (Medium priority)

Nummer: 3552824

[CVE-2025-26659] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP (Anwendungen auf der Basis von SAP GUI for HTML)

In SAP NetWeaver Application Server ABAP werden benutzergenerierte Eingaben nicht ausreichend kodiert, was zu einer DOM-basierten Cross-Site-Scripting-Schwachstelle führt. Ein Angreifer kann so ohne Berechtigungen eine schadhafte Web-Nachricht erzeugen, die SAP-GUI-Funktionen ausnutzt. Bei erfolgreichem Angriff wird die schadhafte JavaScript-Payload im Browser des Opfers ausgeführt, wodurch möglicherweise ihre Daten gefährdet und/oder die Inhalte des Browsers verändert werden. Diese Schwachstelle hat nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität, während die Verfügbarkeit nicht beeinträchtigt wird.

6. Score 6.1 (Medium Priority)

Nummer: 3562390

[CVE-2025-25242] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP

Durch SAP NetWeaver Application Server ABAP kann die Ausführung schadhafter Skripte innerhalb der Anwendung ermöglicht werden, was zu einer möglichen Cross-Site-Scripting-Schwachstelle (XSS) führt. Obwohl diese Schwachstelle keine Auswirkungen auf die Verfügbarkeit der Anwendung hat, könnte sie geringfügige Auswirkungen auf die Vertraulichkeit und Integrität haben.

7. Score 5.7 (Medium Priority)

Nummer: 3552144

[CVE-2025-25244] Fehlende Berechtigungsprüfung in SAP Business Warehouse (Prozessketten)

In SAP Business Warehouse (Prozessketten) besteht aufgrund einer fehlenden Berechtigungsprüfung die Möglichkeit für einen Angreifer, die Ausführung von Prozessen zu manipulieren. Ein Angreifer, der über Anzeigeberechtigungen für das Prozesskettenobjekt verfügt, könnte einen oder alle Prozesse zum Überspringen festlegen. Dadurch werden Aktivitäten wie das Laden, Aktivieren oder Löschen von Daten möglicherweise nicht wie ursprünglich vorgesehen ausgeführt. Dies kann zu unerwarteten Ergebnissen im Geschäftsberichtswesen führen und die Integrität erheblich beeinträchtigen, ohne jedoch die Vertraulichkeit oder Verfügbarkeit zu beeinflussen.

8. Score 5.4 (Medium Priority)

Nummer: 3557469

[CVE-2025-25245] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-BusinessObjects-Business-Intelligence-Plattform (Web Intelligence)

In der SAP BusinessObjects Business Intelligence-Plattform (Web Intelligence) existiert ein veralteter Webanwendungsendpunkt, der nicht ausreichend abgesichert ist. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine schadhafte URL in die Daten einfügt, die dann an den Benutzer zurückgegeben werden. Sollte der Angriff erfolgreich sein, könnten im Browser des Opfers begrenzte Auswirkungen auf die Vertraulichkeit und Integrität auftreten, wobei die Verfügbarkeit nicht betroffen ist.

9. Score 5.4 (Medium Priority)

Nummer: 3567246

[CVE-2025-27431] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server Java

Die Benutzerverwaltungsfunktion im SAP NetWeaver Application Server Java weist eine Schwachstelle für Stored Cross-Site Scripting (XSS) auf. Ein Angreifer kann schadhafte Payload einschleusen, die gespeichert und bei einem späteren Zugriff des Benutzers auf die Funktion ausgeführt wird. Dies könnte zur Offenlegung von Informationen oder zu unautorisierten Änderungen von Daten im Browser des Opfers führen, wobei die Verfügbarkeit nicht betroffen ist.

10. Score 5.3 (Medium Priority)

Nummer: 3561792

[CVE-2025-23194] Fehlende Authentifizierungsprüfung in SAP NetWeaver Enterprise Portal (OBN-Komponente)

In SAP NetWeaver Enterprise Portal OBN wird bei einer bestimmten Konfigurationseinstellung keine angemessene Authentifizierungsprüfung durchgeführt. Dadurch kann ein nicht authentifizierter Benutzer diese auf einen unerwünschten Wert setzen, was zu geringfügigen Auswirkungen auf die Integrität führt. Die Vertraulichkeit und Verfügbarkeit der Anwendung bleiben jedoch unbeeinträchtigt.

11. Score 4.9 (Medium Priority)

Nummer: 3558132

[CVE-2025-0071] Schwachstelle bezüglich der Offenlegung von Informationen in SAP Web Dispatcher und Internet Communication Manager

Durch SAP Web Dispatcher und Internet Communication Manager kann ein Angreifer mit Administratorrechten den Debugging-Trace-Modus aktivieren, indem er einen bestimmten Parameterwert verwendet. Dies führt dazu, dass unverschlüsselte Passwörter in den Protokollen offengelegt werden, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat. Die Integrität und Verfügbarkeit bleiben jedoch unbeeinträchtigt.

12. Score 4.7 (Medium Priority)

Nummer: 3557459

[CVE-2025-0062] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-BusinessObjects-Business-Intelligence-Plattform (Web Intelligence)

In der SAP BusinessObjects Business Intelligence-Plattform kann ein Angreifer JavaScript-Code in Web-Intelligence-Berichte einfügen. Dieser Code wird bei jedem Besuch der betroffenen Seite durch das Opfer im Browser ausgeführt. Wird die Schwachstelle erfolgreich ausgenutzt, kann der Angreifer begrenzte Auswirkungen auf die Vertraulichkeit und Integrität im Browser des Opfers haben. Die Verfügbarkeit bleibt jedoch unbeeinträchtigt. Diese Schwachstelle tritt nur auf, wenn die Ausführung von Skripten/HTML vom Administrator in der Central Management Console aktiviert wurde.

13. Score 4.3 (Medium Priority)

Nummer: 3474392

[CVE-2025-26656] Fehlende Berechtigungsprüfung in SAP S/4HANA („Einkaufsinfosätze verwalten“)

Im OData-Service von „Einkaufsinfosätze verwalten“ fehlen die erforderlichen Berechtigungsprüfungen für authentifizierte Benutzer, wodurch ein Angreifer seine Berechtigungen eskalieren kann. Dies führt zu geringen Auswirkungen auf die Integrität der Anwendung.

14. Score 4.3 (Medium Priority)

Nummer: 3565835

[CVE-2025-27433] Schwachstellen bezüglich fehlerhafter Zugriffskontrolle in SAP S/4HANA („Kontoauszüge verwalten“)

Dieser SAP-Sicherheitshinweis befasst sich mit zwei Schwachstellen in SAP S/4HANA. Detaillierte Informationen zu den Schwachstellen sowie die zugehörigen CVE- und CVSS-Daten sind weiter unten aufgeführt.

[CVE-2025-27433] – In der App „Kontoauszüge verwalten“ in SAP S/4HANA kann ein authentifizierter Angreifer bestimmte Funktionseinschränkungen der Anwendung umgehen und Dateien in einen bereits stornierten Kontoauszug hochladen. Diese Schwachstelle hat geringe Auswirkungen auf die Integrität der Anwendung, jedoch keine Auswirkungen auf deren Vertraulichkeit oder Verfügbarkeit.

CVSS: 4.3; CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

[CVE-2025-27436] – In der App „Kontoauszüge verwalten“ in SAP S/4HANA fehlen die erforderlichen Zugriffskontrollprüfungen für authentifizierte Benutzer, um zu verifizieren, ob eine Anfrage zur Interaktion mit einer Ressource legitim ist. Dies ermöglicht es einem Angreifer, einen gebuchten Kontoauszug zu löschen. Die Auswirkungen auf die Integrität sind gering, während die Vertraulichkeit der Daten und die Verfügbarkeit der Anwendung nicht betroffen sind.

CVSS: 4.3; CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

15. Score 4.3 (Medium Priority)

Nummer: 3557655

[CVE-2025-26660] Fehlerhafte Zugriffskontrolle in SAP-Fiori-Apps (Buchungsbibliothek)

SAP-Fiori-Anwendungen, die die Buchungsbibliothek nutzen, konfigurieren die Sicherheitseinstellungen während des Setup-Prozesses möglicherweise nicht korrekt, sodass diese entweder auf den Standardwerten verbleiben oder unzureichend definiert sind. Diese Schwachstelle erlaubt es einem Angreifer mit begrenzten Berechtigungen, Zugriffskontrollen innerhalb der Anwendung zu umgehen, was ihm potenziell die Möglichkeit gibt, Daten zu verändern. Die Vertraulichkeit und Verfügbarkeit bleiben dabei unbeeinträchtigt.

16. Score 4.3 (Medium Priority)

Nummer: 3557131

[CVE-2025-23188] Fehlende Berechtigungsprüfung in SAP S/4HANA (RBD)

17. Score 4.1 (Medium Priority)

Nummer: 3549494

[CVE-2025-23185] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform

Eine falsche Fehlerbehandlung in der SAP BusinessObjects Business Intelligence-Plattform führt dazu, dass technische Details der Anwendung in Ausnahmen und Stack-Traces angezeigt werden, die an den Benutzer ausgegeben werden. Diese Informationen sind nur für einen Angreifer mit Administratorberechtigungen zugänglich, der sie für weitere Exploits nutzen könnte. Die Integrität und Verfügbarkeit der Anwendung bleiben jedoch unbeeinträchtigt.

18. Score 3.7 (Low Priority)

Nummer: 3562415

[CVE-2025-23185] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform

Durch eine fehlerhafte Fehlerbehandlung in der SAP BusinessObjects Business Intelligence-Plattform werden technische Details der Anwendung in Ausnahmen und Stack-Traces offengelegt, die an den Benutzer ausgegeben werden. Nur ein Angreifer mit Administratorberechtigungen kann auf diese Informationen zugreifen und sie für weitere Exploits ausnutzen. Es gibt jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

19. Score 3.5 (Low Priority)

Nummer: 3561861

[CVE-2025-27430] Server-side Request Forgery (SSRF) in SAP CRM und SAP S/4HANA (Interaction Center)

Eine SSRF-Schwachstelle in SAP CRM und SAP S/4HANA (Interaction Center) kann unter bestimmten Bedingungen einem Angreifer mit minimalen Berechtigungen den Zugriff auf vertrauliche Informationen ermöglichen. Diese Schwachstelle erlaubt es dem Angreifer, Anfragen an interne Netzwerkressourcen zu senden, was die Vertraulichkeit der Anwendung gefährdet. Es ist jedoch wichtig zu betonen, dass die Integrität und Verfügbarkeit nicht betroffen sind.

20. Score 2.4 (Low Priority)

Nummer: 3568865

[CVE-2025-27432] Fehlende Berechtigungsprüfung in SAP Electronic Invoicing for Brazil (eDocument Cockpit)

Im eDocument Cockpit (Eingangs-NF-e) von SAP Electronic Invoicing for Brazil besteht die Möglichkeit, dass ein authentifizierter Angreifer mit bestimmten Berechtigungen unberechtigten Zugriff auf sämtliche Transaktionen erhält. Durch die Ausführung einer spezifischen ABAP-Methode im ABAP-System kann ein nicht autorisierter Angreifer jede Transaktion aufrufen und die Anlieferungsdetails einsehen. Diese Schwachstelle hat zwar geringe Auswirkungen auf die Vertraulichkeit, jedoch keine auf die Integrität und Verfügbarkeit der Anwendung.

21. Score 0.0 (Low Priority)

Nummer: 3576540

Open Source Security Advisory: Best Practices for Securing Spring Boot Actuator Endpoints for applications running on BTP

Java-Anwendungen, die mit dem Spring Framework entwickelt wurden, laufen typischerweise in BTP-Cloud-Foundry- und KYMA-Umgebungen, gelegentlich auch in der NEO-Umgebung. Der Spring Boot Actuator bietet Entwicklern eine hervorragende Möglichkeit, ihre Spring Boot-Anwendungen zu debuggen und Telemetriedaten zu sammeln. Er stellt eine Vielzahl von URL-Endpunkten zur Verfügung, die wertvolle Einblicke in die laufende Anwendung gewähren. Während diese Funktionen für Debugging und Überwachung, auch in Produktionsumgebungen, von Nutzen sind, können sie ein Sicherheitsrisiko darstellen, wenn sie ohne angemessene Authentifizierung und Berechtigung zugänglich sind.

Unzureichend gesicherte oder öffentlich exponierte Endpunkte des Spring Boot Actuators können zu ernsthaften Sicherheitsrisiken führen, darunter unberechtigter Zugriff auf sensible Anwendungsdaten wie Umgebungsvariablen, Speicher-Dumps und interne Routing-Informationen. Angreifer könnten diese Fehlkonfigurationen ausnutzen, um Einblicke in die Laufzeit- und Gesundheitsinformationen der Anwendung zu erhalten, was zu Datenlecks oder sogar Systemkompromissen führen kann. Daher ist es entscheidend, diese Endpunkte angemessen zu sichern, um Sicherheitsanfälligkeiten wie Remote-Code-Ausführung (RCE) oder Datendiebstahl zu vermeiden.

Beispielendpunkte, die sensible Daten exponieren könnten, finden Sie hier: https://me.sap.com/notes/3576540

12. Februar 202512. Februar 2025

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Februar 2025:

1. Score 8.8 (High Priority)

Nummer: 3417627

[CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)

Durch unzureichende Validierung und fehlerhafte Kodierung der eingehenden URL-Parameter in der Benutzerverwaltungsanwendung von SAP NetWeaver AS for Java entstehen Sicherheitslücken. Diese Fehler führen zu einer Cross-Site-Scripting-Schwachstelle (XSS), die hauptsächlich die Vertraulichkeit gefährdet, aber auch geringe Auswirkungen auf die Integrität und Verfügbarkeit hat.

2. Score 8.7 (High Priority)

Nummer: 3525794

[CVE-2025-0064] Falsche Berechtigung in der SAP-BusinessObjects-Business-Intelligence-Plattform (Central Management Console)

Bei bestimmten Voraussetzungen bietet die Central Management Console der SAP-BusinessObjects-Business-Intelligence-Plattform einem Angreifer mit Administratorrechten die Möglichkeit, eine geheime Passphrase zu erstellen oder abzurufen. Dadurch kann er sich als legitimer Benutzer im System ausgeben. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit und Integrität, jedoch keine auf die Verfügbarkeit.

3. Score 8.6 (High priority)

Nummer: 3567551

[CVE-2025-25243] Pfad-Traversal-Schwachstelle in SAP Supplier Relationship Management (Stammdatenmanagement-Katalog)

Ein nicht authentifizierter Angreifer kann mit SAP Supplier Relationship Management (Stammdatenmanagement-Katalog) ein öffentlich zugängliches Servlet ausnutzen, um eine beliebige Datei über das Netzwerk herunterzuladen – ganz ohne Interaktion des Benutzers. Auf diese Weise können vertrauliche Daten preisgegeben werden, ohne die Integrität oder Verfügbarkeit zu beeinträchtigen.

4. Score 8.1 (High priority)

Nummer: 3567974

[CVE-2025-24876] Authentifizierungsumgehung über Berechtigungscode-Injection in SAP Approuter

Ältere Versionen von SAP Approuter vor der Version 16.7.2 sind anfällig für eine Authentifizierungsumgehung aufgrund einer Berechtigungscode-Injection, die in der CVE-2025-24876 beschrieben wird.

5. Score 7.5 (High priority)

Nummer: 3567172

[CVE-2024-38819] Mehrere Schwachstellen in SAP Enterprise Project Connection

Die verwendeten Versionen der Spring-Framework-Open-Source-Bibliotheken in SAP Enterprise Project Connection könnten Sicherheitslücken aufweisen, die in der Rubrik „Weitere Begriffe“ dieses SAP-Sicherheitshinweises mit den entsprechenden CVEs aufgeführt sind.

6. Score 7.1 (High Priority)

Nummer: 3563929

[CVE-2025-24868] Open-Redirect-Schwachstelle in den erweiterten Anwendungsservices von SAP HANA, erweitertes Modell(User Account and Authentication Services)

Der User Account and Authentication Service (UAA) für SAP HANA mit dem erweiterten Modell (SAP HANA XS Advanced Model) bietet einem nicht authentifizierten Angreifer die Möglichkeit, einen schädlichen Link zu erstellen. Klickt ein Opfer auf diesen Link, wird der Browser aufgrund unzureichender Validierung der Umleitungs-URL auf eine gefährliche Seite umgeleitet. Wenn der Angriff erfolgreich ist, kann er eingeschränkte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems verursachen.

7. Score 6.8 (Medium Priority)

Nummer: 3555364

[CVE-2025-24875] Tiefgreifende Verteidigung via SameSite für einige Cookies in SAP Commerce nicht angewendet

In SAP Commerce werden bestimmte Cookies gesetzt, wobei das SameSite-Attribut standardmäßig auf den Wert „None“ (SameSite=None) konfiguriert ist. Dies betrifft auch die Authentifizierungs-Cookies, die im SAP Commerce Backoffice verwendet werden. Diese Einstellung schwächt die Schutzmechanismen gegen CSRF-Angriffe und könnte zukünftig zu Kompatibilitätsproblemen führen.

8. Score 6.0 (Medium Priority)

Nummer: 3559510

[CVE-2025-24874] Fehlende tiefgreifende Verteidigung gegen Clickjacking in SAP Commerce (Backoffice)

SAP Commerce (Backoffice) setzt den veralteten X-FRAME-OPTIONS-Header ein, um sich vor Clickjacking-Angriffen zu schützen. Obwohl dieser Schutz aktuell noch funktioniert, könnte er in Zukunft obsolet werden, da Browser die Unterstützung für diesen Header zugunsten der CSP-Direktive „frame-ancestors“ einstellen könnten. Dies würde Clickjacking-Angriffe ermöglichen und zur Offenlegung sowie Veränderung sensibler Informationen führen.

9. Score 6.1 (Medium Priority)

Nummer: 3445708

[CVE-2025-24867] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-BusinessObjects-Business-Intelligence-Plattform (BI-Launchpad)

In der SAP-BusinessObjects-Business-Intelligence-Plattform (BI Launchpad) erfolgt die Verarbeitung benutzergenerierter Eingaben nicht ausreichend, was eine Cross-Site-Scripting-Sicherheitslücke (XSS) zur Folge hat. Ein nicht authentifizierter Angreifer kann eine URL erstellen, die ein schädliches Skript in einen ungeschützten Parameter einschleust. Klickt ein Opfer auf den Link, wird das Skript im Browser ausgeführt, wodurch der Angreifer auf Web-Client-Daten zugreifen und/oder diese verändern kann, ohne dass die Verfügbarkeit beeinträchtigt wird.

10. Score 6.1 (Medium Priority)

Nummer: 3557138

Aktualisierung 1 zu Sicherheitshinweis 3417627 – [CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)

Dieser SAP-Sicherheitshinweis stellt eine Aktualisierung des Sicherheitshinweises 3417627 dar. Die in diesem früheren Sicherheitshinweis bereitgestellte Korrektur ist mittlerweile ungültig.

Kunden sollten diesen neuen Sicherheitshinweis umgehend einspielen, um die vollständige Korrektur zu erhalten. Kunden, die bereits den Sicherheitshinweis 3417627 angewendet haben, müssen ebenfalls diesen neuen Sicherheitshinweis installieren, um die vollständige Behebung des Problems zu gewährleisten.
Die UserAdmin-Anwendung in SAP NetWeaver AS for Java (SAP NW AS Java) überprüft die eingehenden URL-Parameter nicht ausreichend. Dies ermöglicht es einem nicht authentifizierten Angreifer, schadhafte Links zu erstellen, die gefährliche Skripte enthalten. Wird ein solcher Link von einem Opfer angeklickt, wird das Skript im Browser des Opfers ausgeführt, was zu unberechtigtem Zugriff auf oder Änderungen an vertraulichen Informationen führen kann.

11. Score 6.0 (Medium Priority)

Nummer: 3562336

[CVE-2025-24870] Unsichere Schwachstelle in Bezug auf Schlüssel und Secret-Verwaltung in SAP GUI for Windows

Die Anmeldeinformationen für SAP GUI for Windows und den RFC-Service werden irrtümlich im Speicher des Programms abgelegt. Ein Angreifer mit entsprechenden Berechtigungen auf der Client-Seite könnte dadurch auf Informationen im Application Server ABAP zugreifen. Im Backend-System sind keine Benutzeranmeldungen erforderlich. Bei erfolgreicher Ausnutzung könnte dies zur Offenlegung hochsensibler Daten führen, ohne die Integrität oder Verfügbarkeit zu beeinträchtigen.

12. Score 5.5 (Medium Priority)

Nummer: 3540273

[CVE-2024-45216] Mehrere Schwachstellen in Apache Solr in SAP Commerce Cloud

SAP Commerce Cloud nutzt eine verwundbare Version von Apache Solr, die es einem Angreifer ermöglicht, auf die Datenbank zuzugreifen, sofern bestimmte Voraussetzungen erfüllt sind. Dies könnte geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit zur Folge haben.

13. Score 5.4 (Medium Priority)

Nummer: 3526203

[CVE-2025-0054] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server Java

SAP NetWeaver Application Server Java verarbeitet Benutzereingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Sicherheitslücke führt. Angreifern mit grundlegenden Berechtigungen wird ermöglicht, eine JavaScript-Payload auf dem Server abzulegen, die später im Webbrowser des Opfers ausgeführt wird. Dies könnte es dem Angreifer erlauben, Informationen im Zusammenhang mit der anfälligen Webseite zu lesen oder zu verändern.

14. Score 5.4 (Medium Priority)

Nummer: 3532025

[CVE-2025-25241] Fehlende Berechtigungsprüfung in Referenzbibliothek für SAP-Fiori-Apps („Meine Mehrarbeitsanträge“)

Ein in der Anwendung authentifizierter Angreifer kann aufgrund einer fehlenden Berechtigungsprüfung auf „Meine Mehrarbeitsanträge“ zugreifen und diese löschen. Dadurch erhält der Angreifer möglicherweise Zugriff auf Mitarbeiterinformationen. Dies hat geringe Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, jedoch keine auf die Verfügbarkeit.

15. Score 5.3 (Medium Priority)

Nummer: 3546470

[CVE-2025-23187] Fehlende Berechtigungsprüfung in SAP NetWeaver und ABAP-Plattform (SDCCN)

Dieser Sicherheitshinweis behandelt zwei Schwachstellen aufgrund fehlender Berechtigungsprüfungen in SDCCN. Die Details zu den Schwachstellen sowie die entsprechenden CVE- und CVSS-Informationen sind im Folgenden aufgeführt.

CVE-2025-23187: Wegen einer fehlenden Berechtigungsprüfung in einem RFC-fähigen Funktionsbaustein der Transaktion SDCCN kann ein nicht authentifizierter Angreifer technische Metadaten erzeugen. Dies hat nur geringe Auswirkungen auf die Integrität, jedoch keine auf die Vertraulichkeit oder Verfügbarkeit.
CVSS: 5.3; CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

CVE-2025-23189: Durch eine fehlende Berechtigungsprüfung in einem RFC-fähigen Funktionsbaustein der Transaktion SDCCN kann ein authentifizierter Angreifer technische Metadaten erstellen. Auch hier sind die Auswirkungen auf die Integrität gering, während es keine Auswirkungen auf Vertraulichkeit oder Verfügbarkeit gibt.
CVSS: 4.3; CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

16. Score 5.3 (Medium Priority)

Nummer: 3561264

[CVE-2025-23193] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP

SAP NetWeaver Server ABAP lässt es einem nicht authentifizierten Angreifer zu, eine Schwachstelle auszunutzen, bei der der Server je nach Vorhandensein eines bestimmten Benutzers unterschiedlich reagiert. Dies könnte dazu führen, dass sensible Informationen offengelegt werden. Das Problem führt jedoch zu keiner Änderung der Daten und beeinträchtigt nicht die Verfügbarkeit des Servers.

17. Score 5.3 (Medium Priority)

Nummer: 3287784

[CVE-2023-24527] Falsche Zugriffskontrolle in SAP NetWeaver AS Java für Deploy Service

Durch das Fehlen von Berechtigungsprüfungen für benutzerbezogene Funktionen im Deploy Service von SAP NetWeaver Application Server Java kann ein nicht authentifizierter Angreifer eine offene Schnittstelle nutzen und über eine ungeschützte Namens- und Verzeichnis-API auf einen Service zugreifen. Dies ermöglicht den Zugriff auf Servereinstellungen und Daten, wobei jedoch keine Auswirkungen auf die Verfügbarkeit oder Integrität entstehen und keine Änderungen vorgenommen werden können.

18. Score 4.3 (Medium Priority)

Nummer: 3553753

[CVE-2025-24872] Fehlende Berechtigungsprüfung in der SAP-ABAP-Plattform (ABAP Build Framework)

Im ABAP Build Framework von SAP-ABAP besteht die Möglichkeit für einen authentifizierten Angreifer, unbefugten Zugriff auf eine bestimmte Transaktion zu erlangen. Durch die Nutzung der Add-On-Build-Funktion im ABAP Build Framework kann der Angreifer die Transaktion aufrufen und die zugehörigen Details einsehen. Dies hat nur begrenzte Auswirkungen auf die Vertraulichkeit der Anwendung, ohne die Integrität oder Verfügbarkeit der Anwendung zu beeinträchtigen.

19. Score 4.3 (Medium Priority)

Nummer: 3550027

[CVE-2025-24869] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server Java

SAP NetWeaver Application Server Java erlaubt es einem Angreifer, auf einen Endpunkt zuzugreifen, der Informationen über bereitgestellte Serverkomponenten, einschließlich ihrer XML-Definitionen, preisgeben kann. Diese Informationen sollten eigentlich nur für Kundenadministratoren zugänglich sein, auch wenn sie möglicherweise nicht zwingend benötigt werden. Da die XML-Dateien mit dem Server bereitgestellt werden, sind sie nicht vollständig intern in SAP, was in diesem Fall zur Offenlegung sensibler Daten führen kann, ohne die Integrität oder Verfügbarkeit zu gefährden.

20. Score 4.3 (Medium Priority)

Nummer: 3547581

[CVE-2025-23190] Fehlende Berechtigungsprüfung in SAP NetWeaver und ABAP-Plattform (ST-PI)

Wegen einer fehlenden Berechtigungsprüfung kann ein authentifizierter Angreifer einen remotefähigen Funktionsbaustein aufrufen, um auf Daten zuzugreifen, auf die er normalerweise keinen Zugriff hätte. Der Angreifer kann jedoch weder Daten verändern noch die Verfügbarkeit des Systems beeinträchtigen.

21. Score 3.1 (Low Priority)

Nummer: 3426825

[CVE-2025-23191] Cache Poisoning durch Header-Manipulationsschwachstelle in SAP Fiori für SAP ERP

Werte, die im Cache für den SAP-OData-Endpunkt in SAP Fiori für SAP ERP gespeichert sind, können manipuliert werden, indem der Host-Header-Wert in einer HTTP-GET-Anfrage verändert wird. Ein Angreifer könnte dadurch die Werte in den zurückgegebenen Metadaten ändern und sie auf einen schädlichen Link umleiten, den er selbst festgelegt hat. Wird diese Schwachstelle erfolgreich ausgenutzt, kann dies geringe Auswirkungen auf die Integrität der Anwendung haben.

14. Januar 202514. Januar 2025

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Januar 2025:

1. Score 9.9 (Hot News)

Nummer: 3537476

[CVE-2025-0070] Falsche Authentifizierung in SAP NetWeaver ABAP Server und ABAP-Plattform

Mit dem SAP NetWeaver Application Server für ABAP und der ABAP-Plattform besteht für einen authentifizierten Angreifer die Möglichkeit, unbefugten Zugriff auf das System zu erhalten, indem er Schwächen in der Authentifizierungsprüfung ausnutzt. Dies kann zu einer Eskalation der Berechtigungen führen und im Erfolgsfall Sicherheitsrisiken hervorrufen. Solche Vorfälle könnten erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben.

2. Score 9.9 (Hot News)

Nummer: 3550708

[CVE-2025-0066] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver AS für ABAP und ABAP-Plattform (Internet Communication Framework)

Unter bestimmten Umständen kann SAP NetWeaver AS für ABAP und die ABAP-Plattform (Internet Communication Framework) einem Angreifer aufgrund unzureichender Zugriffskontrollen den Zugang zu vertraulichen Informationen ermöglichen. Dies könnte gravierende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit einer Anwendung haben.

3. Score 8.8 (High priority)

Nummer: 3550816

[CVE-2025-0063] SQL-Injection-Schwachstelle in SAP NetWeaver AS für ABAP und ABAP-Plattform

Wenn ein Benutzer bestimmte RFC-Funktionsbausteine aufruft, wird von SAP NetWeaver AS ABAP und der ABAP-Plattform keine Berechtigungsprüfung durchgeführt. Dies eröffnet einem Angreifer mit einfachen Benutzerrechten die Möglichkeit, Zugriff auf die Daten in der Informix-Datenbank zu erlangen, was die Vertraulichkeit, Integrität und Verfügbarkeit der Daten vollständig gefährden kann.

4. Score 8.7 (High priority)

Nummer: 3469791

[CVE-2025-0061] Mehrere Schwachstellen in SAP-BusinessObjects-Business-Intelligence-Plattform

Dieser Sicherheitshinweis von SAP beschreibt zwei Schwachstellen, die in der BusinessObjects-Business-Intelligence-Plattform erkannt wurden. Im Folgenden werden die Details zu den Schwachstellen sowie die entsprechenden CVE- und CVSS-Bewertungen erläutert:

Informationsoffenlegung (CVE-2025-0061): Aufgrund einer Sicherheitslücke in der Plattform kann ein nicht authentifizierter Angreifer über das Netzwerk ein Session-Hijacking durchführen, ohne dass eine Benutzerinteraktion erforderlich ist. Dadurch erhält der Angreifer Zugriff auf Benutzerdaten innerhalb der Anwendung und hat die Möglichkeit, diese zu verändern.
CVSS-Wertung: 8.7; CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
Code Injection (CVE-2025-0060): Ein Benutzer mit eingeschränkten Rechten hat die Möglichkeit, schädlichen JavaScript-Code in das System einzuschleusen. Dieser Code kann vertrauliche Informationen vom Server auslesen und an den Angreifer weiterleiten. Darüber hinaus kann der Angreifer diese Informationen nutzen, um sich als ein Benutzer mit erweiterten Berechtigungen auszugeben, was gravierende Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben kann.
CVSS-Wertung: 6.5; CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

5. Score 7.8 (High priority)

Nummer: 3542533

[CVE-2025-0069] DLL-Hijacking-Schwachstelle in SAPSetup

Eine Schwachstelle im SAPSetup ermöglicht es einem Angreifer, mithilfe von DLL-Injection erweiterte Zugriffsrechte zu erlangen. Ein lokaler Benutzer oder jemand mit Zugang zu einem kompromittierten Windows-Konto eines Unternehmens kann diese Sicherheitslücke ausnutzen, um sich im Netzwerk lateral zu bewegen und das Active Directory weiter anzugreifen. Dies stellt ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Windows-Servers dar.

6. Score 6.5 (Mediumpriority)

Nummer: 3542698

[CVE-2025-0058] Schwachstelle bezüglich der Offenlegung von Informationen in SAP Business Workflow und SAP Flexible Workflow

Ein authentifizierter Angreifer kann in SAP Business Workflow und SAP Flexible Workflow einen Parameter in einer legitimen Ressourcenanfrage manipulieren. Dadurch erhält er Zugriff auf vertrauliche Informationen, die normalerweise nur eingeschränkt einsehbar sein sollten. Der Angreifer hat jedoch keine Möglichkeit, die angezeigten Daten zu verändern oder ihren Zugriff einzuschränken.

7. Score 6.3 (Medium priority)

Nummer: 3540108

[CVE-2025-0067] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server Java

Eine fehlende Berechtigungsprüfung für bestimmte Service-Endpunkte im SAP NetWeaver Application Server Java ermöglicht es einem Angreifer mit Standardbenutzerrechten, JCo-Verbindungseinträge zu erstellen. Diese Einträge können sowohl für eingehende als auch ausgehende Remote Function Calls des Anwendungsservers genutzt werden. Obwohl diese Schwachstelle nur geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat, stellt sie dennoch ein potenzielles Sicherheitsrisiko dar.

8. Score 6.0 (Medium priority)

Nummer: 3502459

[CVE-2025-0056] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP GUI for Java

Die SAP GUI für Java speichert Benutzerdaten auf dem Client-Computer, um die Nutzungserfahrung zu verbessern. Wenn ein Angreifer Administratorrechte besitzt oder Zugang zum Benutzerverzeichnis auf Betriebssystemebene hat, kann er diese Informationen einsehen. Je nachdem, welche Daten der Benutzer in den Transaktionen eingibt, können die offengelegten Informationen von unkritischen bis hin zu hochsensiblen Daten reichen, was die Vertraulichkeit der Anwendung erheblich gefährden kann.

9. Score 6.0 (Medium priority)

Nummer: 3472837

[CVE-2025-0055] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP GUI for Windows

Die SAP GUI für Windows speichert Eingaben der Nutzer auf dem Client, um die Nutzung zu erleichtern. Unter besonderen Bedingungen könnte ein Angreifer, der über Administratorrechte oder Zugriff auf das Benutzerverzeichnis auf Betriebssystemebene verfügt, in der Lage sein, diese Daten auszulesen. Abhängig von den eingegebenen Informationen in Transaktionen könnten dabei Daten aufgedeckt werden, die von unkritisch bis hin zu hochsensibel reichen, was die Vertraulichkeit der Anwendung erheblich gefährdet.

10. Score 6.0 (Medium priority)

Nummer: 3503138

[CVE-2025-0059] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server ABAP (Anwendungen, die auf SAP GUI for HTML basieren)

Anwendungen, die auf der SAP GUI for HTML im SAP NetWeaver Application Server ABAP basieren, speichern Eingaben der Nutzer im lokalen Browser-Speicher, um die Bedienung zu erleichtern. Ein Angreifer, der über Administratorrechte verfügt oder Zugang zum Benutzerverzeichnis auf Betriebssystemebene hat, kann diese Daten einsehen. Je nach den eingegebenen Informationen in den Transaktionen können die offengelegten Daten von wenig kritischen bis hin zu hochsensiblen Informationen reichen, was erhebliche Risiken für die Vertraulichkeit der Anwendung darstellt.

11. Score 5.3 (Medium priority)

Nummer: 3536461

[CVE-2025-0053] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform bieten einem Angreifer die Möglichkeit, unbefugt auf Systeminformationen zuzugreifen. Durch Manipulation eines spezifischen URL-Parameters kann ein nicht authentifizierter Angreifer Informationen wie die Systemkonfiguration einsehen. Dies stellt nur eine geringe Bedrohung für die Vertraulichkeit der Anwendung dar, könnte jedoch als Grundlage für weitergehende Angriffe oder Exploits dienen.

12. Score 4.8 (Medium priority)

Nummer: 3514421

[CVE-2025-0057] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS JAVA (Benutzerverwaltungsanwendung)

Die SAP NetWeaver AS JAVA (User Admin Application) weist eine Schwachstelle in Form von Stored Cross-Site-Scripting (XSS) auf. Ein Angreifer, der sich als Administrator ausgibt, könnte ein Bild mit schädlichem JavaScript-Code hochladen. Wenn ein Opfer die betroffene Komponente aufruft, wäre der Angreifer in der Lage, Daten im Webbrowser des Opfers zu lesen und zu manipulieren.

13. Score 4.3 (Medium priority)

Nummer: 3550674

[CVE-2025-0068] Fehlende Berechtigungsprüfung in Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

Eine nicht mehr aktualisierte Funktion im SAP NetWeaver Application Server ABAP führt keine angemessenen Berechtigungsprüfungen durch. Dadurch könnte ein authentifizierter Angreifer auf Informationen zugreifen, die normalerweise nicht zugänglich wären. Diese Lücke hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

10. Dezember 202410. Dezember 2024

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Dezember 2024:

1. Score 9.1 (Hot News)

Nummer: 3520281

[CVE-2024-47578] Mehrere Schwachstellen in SAP NetWeaver AS für JAVA (Adobe Document Services)

Dieser Sicherheitshinweis bezieht sich auf mehrere Schwachstellen in den Adobe Document Services von SAP NetWeaver AS für JAVA. Nachfolgend sind die Details der Sicherheitslücken sowie die zugehörigen CVE- und CVSS-Informationen aufgeführt:

CVE-2024-47578
Die Adobe Document Services weisen eine Schwachstelle auf, bei der ein Angreifer mit Administratorrechten speziell gestaltete Anfragen über eine anfällige Webanwendung senden kann. Dies kann für Angriffe auf interne Systeme genutzt werden, die durch Firewalls geschützt sind und normalerweise nicht aus externen Netzwerken erreichbar sind. Die Schwachstelle ermöglicht serverseitige Request-Forgery-Angriffe. Ein erfolgreicher Angriff erlaubt es dem Angreifer, Dateien zu lesen, zu modifizieren oder das gesamte System lahmzulegen.

CVSS-Wert: 9.1
Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2024-47579
Ein authentifizierter Angreifer mit Administratorrechten kann über einen bereitgestellten Web-Service PDF-Schriftartdateien hoch- oder herunterladen. Durch Nutzung der Upload-Funktion, die eine interne Datei in eine Schriftartdatei umwandelt, und anschließendes Herunterladen dieser Datei kann der Angreifer jede Datei auf dem Server auslesen, ohne dabei die Integrität oder Verfügbarkeit des Systems zu beeinträchtigen.

CVSS-Wert: 6.8
Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2024-47580
Ein authentifizierter Administrator kann eine Schwachstelle in einem freigelegten Web-Service ausnutzen, um PDF-Dateien mit eingebetteten Anhängen zu erstellen. Indem er dabei interne Serverdateien einbindet und die generierten PDFs herunterlädt, kann er beliebige Dateien auf dem Server auslesen, ohne die Integrität oder Verfügbarkeit des Systems zu beeinträchtigen.

CVSS-Wert: 6.8
Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

2. Score 8.8 (High priority)

Nummer: 3520281

[CVE-2024-47590] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Web Dispatcher

Ein nicht authentifizierter Angreifer kann einen manipulierten Link erstellen und öffentlich zugänglich machen. Klickt ein authentifizierter Nutzer auf diesen Link, werden die übermittelten Eingabedaten von der Webseite verarbeitet, um Inhalte zu generieren. Dies ermöglicht dem Angreifer entweder die Ausführung von Code im Browser des Nutzers (XXS) oder die Übermittlung von Daten an einen anderen Server (SSRF). Auf diese Weise kann der Angreifer beliebigen Code auf dem Server ausführen und die Vertraulichkeit, Integrität sowie Verfügbarkeit des Systems vollständig kompromittieren.

Änderungsprotokoll:

v12 (Aktuelle Version) – Update vom 10. Dezember 2024: Der SAP-Hinweis wurde überarbeitet, insbesondere im Abschnitt „Ursache und Voraussetzungen“, und erneut veröffentlicht. Es sind keine kundenseitigen Maßnahmen erforderlich.
v9 (Initialversion)

3. Score 8.5 (High priority)

Nummer: 3469791

[CVE-2024-54198] Schwachstelle mit Blick auf Offenlegung von Informationen über Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

SAP NetWeaver Application Server ABAP kann unter bestimmten Bedingungen einem authentifizierten Angreifer ermöglichen, Anfragen für Remote-Function-Calls (RFC) an eingeschränkte Ziele zu senden. Dabei werden Anmeldeinformationen für einen Remote-Service bereitgestellt, die der Angreifer missbrauchen könnte. Dadurch besteht das Risiko, den Remote-Service vollständig zu gefährden, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben könnte.

4. Score 7.5 (High priority)

Nummer: 3504390

[CVE-2024-47586] NULL-Pointer-Dereferenz-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Ein nicht authentifizierter Angreifer hat die Möglichkeit, auf SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einen speziell präparierten HTTP-Request zu senden. Dieser kann eine NullPointer-Dereferenz im Kernel auslösen, wodurch das System abstürzt und einen Neustart durchführt. Dies führt zu einer vorübergehenden Nichtverfügbarkeit des Systems. Wird die Anfrage wiederholt gesendet, kann die Anwendung dauerhaft außer Betrieb gesetzt werden. Die Vertraulichkeit und Integrität bleiben dabei unbeeinträchtigt.

5. Score 7.2 (High priority)

Nummer: 3542543

[CVE-2024-54197] Serverseitige Request Forgery in SAP NetWeaver Administrator (Systemübersicht)

Der SAP NetWeaver Administrator (Systemübersicht) erlaubt es einem authentifizierten Angreifer, durch gezielt erstellte HTTP-Requests zugängliche HTTP-Endpunkte im internen Netzwerk aufzulisten. Bei erfolgreicher Ausführung dieser Schwachstelle kann eine serverseitige Request-Forgery (SSRF) ausgelöst werden. Diese kann geringfügige Auswirkungen auf die Integrität und Vertraulichkeit der Daten haben, jedoch bleibt die Verfügbarkeit der Anwendung unbeeinträchtigt.

6. Score 5.3 (Medium priority)

Nummer: 3351041

[CVE-2024-47582] XML-Entitätserweiterungsschwachstelle in SAP NetWeaver AS JAVA

Ein nicht authentifizierter Angreifer kann schädliche Eingaben an einen Endpunkt senden, da die XML-Eingaben nicht ausreichend validiert werden. Dies ermöglicht einen XML-Entity-Expansion-Angriff, der die Verfügbarkeit der Anwendung geringfügig beeinträchtigen kann.

7. Score 5.3 (Medium priority)

Nummer: 3524933

[CVE-2024-32732] Schwachstelle bezüglich der Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform

Die SAP-BusinessObjects-Business-Intelligence-Plattform kann unter bestimmten Umständen einem Angreifer Zugriff auf Informationen gewähren, die normalerweise geschützt sind. Dies beeinträchtigt die Vertraulichkeit geringfügig, hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

8. Score 4.3 (Medium priority)

Nummer: 3536361

[CVE-2024-47585] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Ein authentifizierter Angreifer kann in SAP NetWeaver Application Server für ABAP und der ABAP-Plattform durch Ausnutzung fehlerhafter Berechtigungsprüfungen unbeabsichtigt höhere Zugriffsebenen erhalten. Dies führt zu einer Eskalation der Berechtigungen. Obwohl Import- und Exportrechte separat behandelt werden sollten, wird in diesem Fall nur eine einzelne Berechtigung angewendet, was zusätzliche Risiken mit sich bringt. Wird diese Schwachstelle erfolgreich ausgenutzt, könnte dies zu Sicherheitsbedenken führen. Die Integrität und Verfügbarkeit der Anwendung bleiben jedoch unberührt, und die Auswirkungen auf die Vertraulichkeit der Daten sind minimal.

9. Score 4.3 (Medium priority)

Nummer: 3515653

Aktualisierung 1 zu Sicherheitshinweis 3433545: [CVE-2024-42375] Mehrere Schwachstellen beim uneingeschränkten Datei-Upload in SAP-BusinessObjects-Business-Intelligence-Plattform

Dieser Sicherheitshinweis stellt eine Aktualisierung des ursprünglichen Sicherheitshinweises 3433545 dar. Die zuvor bereitgestellte Korrektur in diesem Hinweis ist nicht mehr gültig.

Kunden sollten diesen aktuellen SAP-Sicherheitshinweis implementieren, um die vollständige und korrekte Korrektur zu erhalten. Falls der Sicherheitshinweis 3433545 bereits angewendet wurde, ist es notwendig, diesen neuen Sicherheitshinweis zu integrieren, um die vollständige Behebung sicherzustellen.

Der Hinweis behandelt drei Schwachstellen im Zusammenhang mit dem uneingeschränkten Datei-Upload in der SAP-BusinessObjects-Business-Intelligence-Plattform. Nachfolgend finden Sie die Details zu den Schwachstellen sowie die zugehörigen CVE- und CVSS-Informationen:

CVE-2024-42375
Ein authentifizierter Angreifer kann über das Netzwerk schädlichen Code hochladen, der von der SAP-BusinessObjects-Business-Intelligence-Plattform ausgeführt werden könnte. Bei erfolgreichem Ausnutzen der Schwachstelle könnte die Integrität der Anwendung leicht beeinträchtigt werden.

CVSS-Wert: 4.3
Bewertung: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVE-2024-28166
Ein nicht authentifizierter Angreifer hat die Möglichkeit, schädliche Dateien über das Netzwerk in das BI-Datei-Repository hochzuladen. Um die Dateiformatprüfung des Frontends zu umgehen, sind tiefgehende Systemkenntnisse erforderlich. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann der Angreifer bestimmte Daten verändern, was geringe Auswirkungen auf die Integrität der Anwendung hat.

CVSS-Wert: 3.7
Bewertung: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

CVE-2024-41731
Ein authentifizierter Angreifer kann schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochladen. Auch hier sind fundierte Systemkenntnisse notwendig, um die Dateiformatprüfung des Frontends zu umgehen. Bei erfolgreichem Ausnutzen dieser Schwachstelle könnte der Angreifer die Integrität der Anwendung leicht beeinträchtigen.

CVSS-Wert: 3.1
Bewertung: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

10. Score 4.3 (Medium priority)

Nummer: 3433545

[CVE-2024-42375] Mehrere Schwachstellen beim uneingeschränkten Datei-Upload in SAP-BusinessObjects-Business-Intelligence-Plattform

Dieser Sicherheitshinweis bezieht sich auf drei Schwachstellen im Zusammenhang mit dem uneingeschränkten Datei-Upload in der SAP-BusinessObjects-Business-Intelligence-Plattform. Im Folgenden sind die Details zu den jeweiligen Schwachstellen sowie die zugehörigen CVE- und CVSS-Informationen aufgeführt:

CVE-2024-42375
Ein authentifizierter Angreifer kann über das Netzwerk schädlichen Code hochladen, der von der Anwendung ausgeführt werden könnte. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann der Angreifer die Integrität der Anwendung geringfügig beeinträchtigen.

CVSS-Wert: 4.3
Bewertung: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVE-2024-28166
Ein nicht authentifizierter Angreifer hat die Möglichkeit, schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochzuladen. Um die Prüfung des Frontend-Dateiformats zu umgehen, sind tiefgehende Systemkenntnisse erforderlich. Durch das erfolgreiche Ausnutzen der Schwachstelle kann der Angreifer Daten ändern, was zu geringen Auswirkungen auf die Integrität der Anwendung führt.

CVSS-Wert: 3.7
Bewertung: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

CVE-2024-41731
Ein authentifizierter Angreifer kann schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochladen. Auch hier sind fundierte Systemkenntnisse erforderlich, um die Dateiformatprüfung des Frontends zu umgehen. Wird die Schwachstelle erfolgreich ausgenutzt, kann der Angreifer die Integrität der Anwendung geringfügig beeinträchtigen.

CVSS-Wert: 3.1
Bewertung: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

11. Score 3.5 (Low priority)

Nummer: 3504847

[CVE-2024-47576] DLL-Hijacking-Schwachstelle in SAP Product Lifecycle Costing

Die Client-Anwendung von SAP Product Lifecycle Costing (Versionen vor 4.7.1) lädt bei Bedarf eine DLL, die standardmäßig mit dem Windows-Betriebssystem geliefert wird. Diese DLL wird auf dem Computer geladen, auf dem die Client-Anwendung ausgeführt wird. Es besteht die Möglichkeit, dass diese DLL durch eine schadhafte Version ersetzt wird, die dann Befehle im Kontext der Client-Anwendung ausführt. Wird diese Schwachstelle erfolgreich ausgenutzt, könnte dies die Vertraulichkeit der Anwendung geringfügig beeinträchtigen, jedoch keine Auswirkungen auf ihre Integrität und Verfügbarkeit haben.

12. Score 3.5 (Low priority)

Nummer: 3535451

[CVE-2024-47577] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

Im Assisted Service Modul von SAP Commerce Cloud gibt es eine Schwachstelle bei den Web-Service-API-Endpunkten, die zu einer unbeabsichtigten Offenlegung von Informationen führen kann. Wenn ein autorisierter Agent nach Kunden sucht, um deren Konten zu verwalten, werden Kundendaten in der URL der Anfrage übermittelt und in den Serverprotokollen gespeichert. Ein Angreifer, der sich als autorisierter Administrator ausgibt, könnte diese Protokolle einsehen und so auf die Kundendaten zugreifen. Die Menge der offenbarten vertraulichen Informationen ist jedoch sehr begrenzt, und der Angreifer hat keinerlei Kontrolle darüber, welche Daten er einsehen kann.

10. Dezember 202427. November 2024

Bedrohungen in SAP-Systemen in Echtzeit erkennen: So funktioniert Threat Detection mit werthAUDITOR

Kernfragen zur Threat Detection

Wie kann ich in Echtzeit bedrohliche Ereignisse in meinem SAP-System erkennen?
Gibt es eine Möglichkeit, sofort alarmiert zu werden, wenn Angriffe stattfinden?
Wie bekomme ich Einblick in die Details eines Angriffs, um schnelle Gegenmaßnahmen zu ergreifen?

SAP-Systeme sind für viele Unternehmen das Herzstück ihrer IT-Landschaft und ein beliebtes Ziel für Cyberangriffe. Umso wichtiger ist es, verdächtige Aktivitäten frühzeitig zu identifizieren und Schäden zu vermeiden. Das werthAUDITOR Threat Management-Dashboard bietet Ihnen diese Fähigkeiten und mehr – übersichtlich, in Echtzeit und automatisiert.

Die Herausforderung: Bedrohungen schnell erkennen und verstehen

Heutige Angriffe sind oft hochgradig komplex und gezielt. Unternehmen benötigen eine Lösung, die:

Verdächtige Aktivitäten und Bedrohungen in Echtzeit identifiziert, bevor Schaden entsteht.
Sofort alarmiert, wenn kritische Schwellenwerte erreicht werden.
Einfache Einblicke in die Art der Bedrohung bietet, um gezielt zu reagieren.

Die Lösung: Echtzeit-Bedrohungserkennung mit werthAUDITOR

Unser Threat Management-Dashboard liefert eine umfassende Übersicht über alle relevanten Bedrohungen, die in Ihrem SAP-System auftreten. Die Informationen werden visuell dargestellt und priorisiert, sodass Sie sofort Maßnahmen einleiten können.

Wichtige Funktionen im Überblick

Ereignisse pro System in Echtzeit: Überwachung aller Bedrohungen über Zeit und Systeme hinweg, dargestellt in einer übersichtlichen Zeitleiste.
Gefährliche Ereignisse sichtbar machen: Jedes Ereignis wird detailliert beschrieben, z. B. „Login kritischer Benutzer“.
Kritikalitätsbewertung: Bedrohungen werden mit einem Risikowert (CVSS Score) versehen, damit Sie sofort sehen, welche Ereignisse höchste Priorität haben.
Automatische Benachrichtigung: Sie werden umgehend alarmiert, wenn eine potenziell gefährliche Aktivität erkannt wird.

Wie erkenne ich Bedrohungen und handle schnell?

1. Ereignisüberwachung in Echtzeit

Das werthAUDITOR Dashboard überwacht kontinuierlich Ihre SAP-Systeme und zeichnet alle relevanten Ereignisse auf. Kritische Aktivitäten werden hervorgehoben, z. B.:

Kritische Tabellen-Zugriffe (GUI): Potenziell missbräuchliche Aktionen, die auf Datenabfluss hinweisen können.
Ungewöhnliche Logins: Logins von kritischen Benutzern, die ungewöhnlich oder verdächtig erscheinen.

2. Analyse der Bedrohungen

Das Dashboard bietet zu jedem Ereignis detaillierte Informationen, z. B.:

Ursache: Warum wurde dieses Ereignis als Bedrohung erkannt?
Betroffene Komponenten: Welches System und welcher Benutzer sind betroffen?
Risikowertung: Basierend auf einer Skala von 0 bis 10 können Sie die Kritikalität sofort einordnen.
Empfohlene Maßnahmen: Klare Handlungsvorschläge helfen Ihnen, schnell zu reagieren.

Beispiel:

Ereignis: Login kritischer Benutzer (NoNamedAdmin)
Risikowert: 7.2 (hoch)
Beschreibung: Ein kritischer Benutzer hat sich mit kritischen Rechten angemeldet, obwohl er diese nicht besitzen sollte.
Empfohlene Maßnahmen: Überprüfen Sie den Benutzerzugang und prüfen Sie, ob unautorisierte Änderungen vorgenommen wurden.

3. Alarmierung bei kritischen Bedrohungen

Sie können das Dashboard so konfigurieren, dass es Sie sofort alarmiert, wenn Bedrohungen erkannt werden, z. B. per E-Mail oder über ein Ticketsystem. Dies stellt sicher, dass Ihre Sicherheitsteams sofort informiert sind, ohne das Dashboard ständig überwachen zu müssen.

Vorteile der werthAUDITOR Threat Detection

1. Schnelligkeit: Echtzeitüberwachung ermöglicht sofortiges Eingreifen bei Bedrohungen.
2. Transparenz: Sie sehen genau, was passiert, und verstehen die Hintergründe jeder Bedrohung.
3. Automatisierung: Keine manuellen Überprüfungen – das Dashboard übernimmt die Arbeit für Sie.
4. Compliance: Einhaltung von Standards wie BSI, DSAG und NIS2 durch dokumentierte Ereignisse und Maßnahmen.

Anwendungsfälle: So schützt werthAUDITOR Ihr SAP-System

Angriffe erkennen: Ein Hacker versucht, durch eine kritischen Tabellen-Zugriff sensible Daten auszulesen. Das Dashboard erkennt die Aktivität und alarmiert Ihr Team.
Benutzerüberwachung: Ein Benutzer verschafft sich kritische Berechtigungen und führt ungewöhnliche Aktivitäten aus. Sie erhalten detaillierte Informationen, um den Vorfall zu prüfen.
Audit-Tracking: Alle Bedrohungen werden protokolliert, sodass Sie jederzeit nachweisen können, wie Angriffe erkannt und behandelt wurden.

Fazit: SAP-Bedrohungen effektiv managen

Mit dem werthAUDITOR Threat Management-Dashboard haben Sie die Kontrolle über die Sicherheit Ihrer SAP-Systeme. Verdächtige Aktivitäten und Angriffe erkennen Sie in Echtzeit, sodass Sie schnell reagieren und Schäden vermeiden können.

Bleiben Sie einen Schritt voraus! Vereinbaren Sie eine Demo und sehen Sie, wie das werthAUDITOR Threat Management Ihnen hilft, Ihre SAP-Sicherheit auf ein neues Niveau zu heben.

3. Dezember 202427. November 2024

Welche Schwachstellen gibt es in meinem SAP-System? Ihr Leitfaden für effektives Schwachstellenmanagement

Die wichtigsten Fragen rund um SAP Schwachstellenmanagement

Welche Schwachstellen gibt es in meinen SAP-Systemen?
Welche davon sind besonders kritisch und erfordern sofortige Maßnahmen?
Wie erkenne ich die Kritikalität von Schwachstellen (z. B. CVSS Score)?
Wie priorisiere ich die Behebung von Schwachstellen, um die Sicherheit zu maximieren?

Diese Fragen beschäftigen IT-Verantwortliche und Sicherheitsbeauftragte jeden Tag. Angesichts immer neuer Schwachstellenmeldungen, wie CVEs (Common Vulnerabilities and Exposures), ist es unerlässlich, den Überblick zu behalten. Unser werthAUDITOR Schwachstellenmanagement-Dashboard liefert genau die Antworten, die Sie brauchen – einfach, visuell und sofort umsetzbar.

Das Kundenbedürfnis: Überblick und Priorisierung

Ihr Ziel als Verantwortlicher ist klar: Sie möchten wissen, welche Schwachstellen bestehen, wie kritisch diese sind und was konkret zu tun ist. Diese Informationen sind entscheidend, um Risiken gezielt zu minimieren und Compliance-Vorgaben wie BSI, DSAG oder NIS2 einzuhalten.

Hier treten jedoch oft zwei Herausforderungen auf:

Die Vielzahl an Schwachstellen und deren technische Details sind schwer verständlich.
Ohne eine Priorisierung wird die Behebung ineffizient und wichtige Sicherheitslücken bleiben unbeachtet.

Die Lösung: werthAUDITOR Schwachstellenmanagement-Dashboard

Unser Dashboard wurde speziell entwickelt, um Transparenz in Ihr Schwachstellenmanagement zu bringen. Es konsolidiert Sicherheitsdaten, zeigt diese übersichtlich an und hilft Ihnen, Prioritäten zu setzen.

Wichtige Funktionen im Überblick

Heatmap der Schwachstellen: Eine intuitive Übersicht zeigt, in welchen Kategorien (z. B. Berechtigungen, Konfiguration, Patchlevel) die meisten und kritischsten Schwachstellen vorliegen.
Kritische Schwachstellen im Fokus: Die CVSS Scores (Common Vulnerability Scoring System) jeder Schwachstelle werden farblich hervorgehoben. So erkennen Sie sofort, welche Probleme dringend behoben werden müssen.
Detaillierte Schwachstelleninformationen: Jeder Eintrag enthält den betroffenen Bereich, die Kritikalität und konkrete Lösungsvorschläge sowei optional eine CVE-Nummer, .
Verfolgung offener Schwachstellen: Verfolgen Sie, wie lange Schwachstellen bereits ungelöst sind, und identifizieren Sie potenzielle Risiken für Audits und Prüfungen.

Wie erkennt man kritische Schwachstellen?

1. CVSS Score verstehen

Der CVSS-Score gibt eine Bewertung zwischen 0 (kein Risiko) und 10 (maximales Risiko). Diese Skala hilft Ihnen, Schwachstellen nach Kritikalität zu priorisieren:

7.0–10.0: Kritisch – sofortige Maßnahmen erforderlich
4.0–6.9: Mittel – baldige Prüfung und Behebung notwendig
0.1–3.9: Gering – kann in regelmäßigen Updates adressiert werden

Im Dashboard sehen Sie diese Werte direkt neben jeder Schwachstelle.

2. Schwachstellenkategorien im Überblick

Das werthAUDITOR Dashboard kategorisiert Schwachstellen automatisch nach Bereichen wie:

Berechtigungen: Unsichere Zugriffsrechte oder fehlende Kontrollen
Konfiguration: Abweichungen von Sicherheitsstandards
Patchlevel: Fehlende Sicherheitsupdates für bekannte Schwachstellen

Die Heatmap zeigt auf einen Blick, in welchen Kategorien die meisten oder kritischsten Probleme bestehen.

3. Handlungsbedarf klar erkennen

Jede Schwachstelle im Dashboard wird durch konkrete Lösungsvorschläge ergänzt. Beispiel:

Schwachstelle: Unsichere Passwortkonfiguration (CVSS Score 9.9)
Lösung: Ändern Sie alle Standardpasswörter und aktivieren Sie Passwortregeln für Benutzerkonten.
Schwachstelle: Fehlendes Patch für SAP BW (CVSS Score 9.8)
Lösung: Spielen Sie den empfohlenen Patch für CVE-2021-21466 ein.

Warum werthAUDITOR?

Das werthAUDITOR Schwachstellenmanagement-Dashboard ist mehr als nur ein Tool – es ist Ihr Assistent für ein proaktives, effizientes und transparentes Schwachstellenmanagement. Damit beantworten Sie nicht nur die drängenden Fragen des Managements, sondern setzen auch die richtigen Prioritäten, um Ihr Unternehmen sicherer zu machen.

Ihre Vorteile auf einen Blick:

Schneller Überblick: Sofort wissen, wo die größten Risiken liegen.
Effiziente Priorisierung: Behebung der Schwachstellen mit dem höchsten Risiko.
Compliance im Blick: Erfüllen Sie Standards wie BSI und DSAG einfacher.

Fazit: Schwachstellenmanagement leicht gemacht

Die Frage „Welche Schwachstellen hat mein System?“ muss nicht länger unbeantwortet bleiben. Mit werthAUDITOR erhalten Sie nicht nur eine Antwort, sondern eine umfassende Lösung. Ob für Audits, Sicherheitsprüfungen oder einfach zur Sicherung Ihrer Systeme – unser Dashboard macht Schwachstellenmanagement effizient, klar und verständlich.

Starten Sie jetzt mit werthAUDITOR! Kontaktieren Sie uns für eine Demo und sehen Sie selbst, wie einfach modernes Schwachstellenmanagement sein kann.