
Hier findet ihr eine Übersicht der SAP Security Notes für Mai 2025:
1. Score 10 (Hot News)
Nummer: 3594142
[CVE-2025-31324] Fehlende Berechtigungsprüfung in SAP NetWeaver (Visual Composer Development Server)
Bei SAP NetWeaver Visual Composer weist der Metadaten-Uploader eine fehlende Berechtigungskontrolle auf, was es einem nicht authentifizierten Angreifer ermöglichen kann, ausführbare Binärdateien hochzuladen. Solche Dateien könnten dem Hostsystem erheblichen Schaden zufügen und dabei insbesondere die Vertraulichkeit, Integrität sowie Verfügbarkeit des betroffenen Zielsystems gefährden.
Änderungsprotokoll:
v19 (aktuelle Version) – AKTUALISIERUNG vom 13. Mai 2025: Eine zusätzliche Korrekturmaßnahme ist notwendig, um vollständigen Schutz sicherzustellen. Auch wenn der Sicherheitshinweis 3594142 bereits implementiert wurde, sollten Kunden unbedingt auch den Hinweis 3604119 anwenden.
v18 (vorherige Version) – AKTUALISIERUNG vom 1. Mai 2025: Dieser Hinweis wurde erneut veröffentlicht und enthält nun erweiterte Informationen im Abschnitt „Support Packages & Patches“. Es wurde eine zusätzliche Korrektur für Support Packages der Versionen SP020 bis SP026 bereitgestellt.
v17 (erste für Kunden freigegebene Version)
2. Score 9.9 (Hot News)
Nummer: 3604119
[CVE-2025-42999] Unsichere Deserialisierung in SAP NetWeaver (Visual Composer Development Server)
Eine Sicherheitslücke im Metadaten-Uploader von SAP NetWeaver Visual Composer erlaubt es privilegierten Nutzern, potenziell gefährliche oder nicht vertrauenswürdige Inhalte hochzuladen. Wird dieser Inhalt deserialisiert, kann dies unter Umständen erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Hostsystems haben.
Hinweis: Kunden, die bereits den Sicherheitshinweis 3594142 umgesetzt haben, sollten zusätzlich auch den hier beschriebenen Hinweis (3604119) berücksichtigen.
3. Score 8.6 (High Priority)
Nummer: 3578900
[CVE-2025-30018] Mehrere Schwachstellen in SAP Supplier Relationship Management (Live Auction Cockpit)
In diesem Sicherheitshinweis werden fünf kritische Schwachstellen in SAP Supplier Relationship Management (SRM) beschrieben. Weitere Details zu den einzelnen Sicherheitslücken sowie die zugehörigen CVE- und CVSS-Informationen finden Sie nachfolgend:
Blind XML External Entity (XXE) [CVE-2025-30018]: Das Live Auction Cockpit von SAP SRM enthält eine Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglicht, eine manipulierte XML-Datei zu senden. Dadurch erhält der Angreifer beim Parsen der Datei Zugang zu vertraulichen Systemdateien und Daten. Diese Lücke gefährdet vor allem die Vertraulichkeit, hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.
CVSS: 8.6; CVSS:3.0/ AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Reflected-Cross-Site-Scripting (XSS) [CVE-2025-30009]: Eine veraltete Java-Applet-Komponente im Live Auction Cockpit von SAP SRM erlaubt es einem nicht authentifizierten Angreifer, schädlichen JavaScript-Code im Browser des Opfers auszuführen. Dies hat geringe Auswirkungen auf die Vertraulichkeit und Integrität innerhalb des Browsers, jedoch keine auf die Verfügbarkeit der Anwendung.
CVSS: 6.1; CVSS:3.0/ AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Offene Weiterleitung (Open Redirect) [CVE-2025-30010]: Auch hier führt die veraltete Java-Applet-Komponente dazu, dass ein nicht authentifizierter Angreifer einen Link erstellt, der den Nutzer auf eine schadhafte Website umleitet, wenn er angeklickt wird. Dies hat nur geringe Auswirkungen auf Vertraulichkeit und Integrität, während die Verfügbarkeit der Anwendung nicht beeinträchtigt wird.
CVSS: 6.1; CVSS:3.0/ AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Offenlegung von Informationen [CVE-2025-30011]: Durch die Nutzung einer veralteten Java-Applet-Komponente im Live Auction Cockpit von SAP SRM könnte ein Angreifer eine bösartige Anfrage senden, die interne Versionsdetails des Systems preisgibt. Diese Schwachstelle betrifft vor allem die Vertraulichkeit, hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit.
CVSS: 5.3; CVSS:3.0/ AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Unsichere Deserialisierung [CVE-2025-30012]: Ein Angreifer mit hohen Berechtigungen könnte über das Live Auction Cockpit von SAP SRM eine unsichere Deserialisierung von Daten auslösen, indem er eine bösartige Payload-Anforderung sendet. Diese Schwachstelle hat geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
CVSS: 3.9; CVSS:3.0/ AV:A/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:L
4. Score 8.3 (High priority)
Nummer: 3600859
[CVE-2025-43010] Code-Injection-Schwachstelle in SAP S/4HANA Cloud Private Edition oder On-Premise (SCM Master Data Layer (MDL))
In SAP S/4HANA Cloud Private Edition sowie der On-Premise-Version (SCM Master Data Layer, MDL) besteht eine Sicherheitslücke, die es einem authentifizierten Angreifer mit SAP-Standardberechtigungen ermöglicht, einen spezifischen Funktionsbaustein aus der Ferne auszuführen. Auf diese Weise könnte er beliebige ABAP-Programme, einschließlich der SAP-Standardprogramme, überschreiben. Das Problem resultiert aus fehlender Eingabevalidierung und unzureichenden Berechtigungsprüfungen. Diese Schwachstelle hat nur geringe Auswirkungen auf die Vertraulichkeit, beeinträchtigt jedoch die Integrität und Verfügbarkeit der Anwendung erheblich.
5. Score 7.9 (High priority)
Nummer: 3586013
[CVE-2025-43000] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform (Hochstufungsverwaltungs-Assistent)
Unter bestimmten Umständen ermöglicht der Hochstufungsverwaltungs-Assistent einem Angreifer den Zugriff auf Informationen, der normalerweise eingeschränkt wäre. Diese Schwachstelle hat nur minimale Auswirkungen auf die Vertraulichkeit, beeinträchtigt jedoch weder die Integrität noch die Verfügbarkeit der Anwendung.
6. Score 7.7 (High Priority)
Nummer: 3590984
[CVE-2024-39592] Fehlende Berechtigungsprüfung in SAP PDCE
In SAP PDCE fehlen bei bestimmten Elementen die erforderlichen Berechtigungsprüfungen für authentifizierte Benutzer, was zu einer möglichen Rechteausweitung führt.
Dies ermöglicht einem Angreifer den Zugriff auf vertrauliche Informationen, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat.
Änderungsprotokoll:
v19 (aktuelle Version) – UPDATE vom 13. Mai 2025: Der SAP-Hinweis wurde mit neuen Informationen zur Korrektur freigegeben. SAP hat Korrekturen für SEM-BW 600 SP01 bis SP015 bereitgestellt, wodurch aufwendige vorausgesetzte SAP-Hinweise vermieden werden können.
v15 (vorherige Version) – UPDATE vom 11. März 2025: Dieser SAP-Hinweis wurde mit aktualisierten Korrekturanleitungsinformationen erneut veröffentlicht. SAP hat die Korrekturen für SEM-BW 602, 603 und 604 bereitgestellt, um komplexe vorausgesetzte SAP-Hinweise zu umgehen.
v11 (vorherige Version) – UPDATE vom 12. November 2024: Dieser SAP-Hinweis wurde mit aktualisierten Korrekturanleitungsinformationen veröffentlicht. SAP hat die Korrekturen für SEM-BW 600 bereitgestellt.
v9 (vorherige Version) – UPDATE vom 25. September 2024: Der SAP-Hinweis wurde mit neuen Korrekturanleitungsinformationen freigegeben. SAP hat Korrekturen für SEM-BW 602 bis SEM-BW 748 bereitgestellt.
v7 (erste Version freigegeben)
7. Score 7.7 (High Priority)
Nummer: 3591978
[CVE-2025-43011] Fehlende Berechtigungsprüfungen in SAP Landscape Transformation (PCL Basis)
Das PCL-Basis-Modul von SAP Landscape Transformation führt unter bestimmten Umständen keine erforderlichen Berechtigungsprüfungen durch, wodurch authentifizierte Benutzer unberechtigten Zugriff auf eingeschränkte Funktionen oder Daten erhalten können. Diese Schwachstelle kann erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung haben, hat jedoch keinen Einfluss auf deren Integrität oder Verfügbarkeit.
8. Score 6.6 (High Priority)
Nummer: 3577300
[CVE-2025-42997] Offenlegung von Informationen in SAP Gateway Client
Der SAP Gateway Client erlaubt es unter bestimmten Bedingungen einem Benutzer mit erweiterten Berechtigungen, auf Informationen zuzugreifen, die normalerweise außerhalb des Anwendungsumfangs liegen. Durch den möglichen Missbrauch der offengelegten Daten, der das Anwendungsverhalten oder die Performance beeinflussen könnte, entstehen geringfügige Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit.
9. Score 6.4 (Medium Priority)
Nummer: 3596033
[CVE-2025-43003] Schwachstelle bezüglich der Offenlegung von Informationen in SAP S/4HANA (Private Cloud und On-Premise)
Ein authentifizierter Angreifer mit fundiertem Wissen über die Anwendung kann in SAP S/4HANA ein Feld konfigurieren, auf das er normalerweise keinen Zugriff haben sollte, und ein benutzerdefiniertes UI-Layout erstellen, das dieses Feld anzeigt. Durch die Ausführung dieses Vorgangs könnte der Angreifer Zugang zu hochsensiblen Informationen erlangen. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit, während die Integrität und Verfügbarkeit der Anwendung nur geringfügig betroffen sind.
10. Score 6.3 (Medium Priority)
Nummer: 3571093
[CVE-2025-43007] Fehlende Berechtigungsprüfung im Ersatzteilmanagement (SPM)
Das Ersatzteilmanagement (SPM) führt für einen authentifizierten Benutzer nicht die erforderlichen Berechtigungsprüfungen durch, sodass ein Angreifer Berechtigungen eskalieren kann. Dies wirkt sich in geringem Maße auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung aus.
11. Score 6.3 (Medium Priority)
Nummer: 2491817
[CVE-2025-43009] Fehlende Berechtigungsprüfung im Ersatzteilmanagement (SPM)
Im Ersatzteilmanagement (SPM) werden die notwendigen Berechtigungsprüfungen für authentifizierte Benutzer nicht durchgeführt, wodurch ein Angreifer Berechtigungen eskalieren und erweiterten Zugriff erlangen kann. Dies hat nur geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
12. Score 6.2 (Medium Priority)
Nummer: 3577287
[CVE-2025-31329] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP und ABAP-Plattform
SAP NetWeaver weist eine Schwachstelle auf, die zu einer Offenlegung von Informationen führt. Diese wird durch das Einschleusen schadhafter Anweisungen in die Benutzerkonfigurationseinstellungen verursacht. Ein Angreifer mit Administratorrechten kann diese Anweisungen so manipulieren, dass beim Zugriff durch das Opfer sensible Informationen, wie etwa Benutzeranmeldedaten, offengelegt werden. Diese Anmeldeinformationen könnten dann für unbefugten Zugriff auf lokale oder benachbarte Systeme genutzt werden. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit, jedoch keine wesentlichen Auswirkungen auf die Integrität oder Verfügbarkeit.
13. Score 6.1 (Medium Priority)
Nummer: 3588455
[CVE-2025-43006] Cross-Site-Scripting-(XXS-)Schwachstelle in SAP Supplier Relationship Management (Stammdatenmanagementkatalog)
Im SAP Supplier Relationship Management (Stammdatenmanagementkatalog) besteht die Möglichkeit für einen nicht authentifizierten Angreifer, schadhafter JavaScript-Code in der Anwendung auszuführen, was zu einer Cross-Site-Scripting-(XSS)-Schwachstelle führen könnte. Diese Lücke beeinträchtigt die Verfügbarkeit der Anwendung nicht, hat jedoch minimale Auswirkungen auf die Vertraulichkeit und Integrität.
14. Score 5.8 (Medium Priority)
Nummer: 3585992
[CVE-2025-43008] Fehlende Berechtigungsprüfung in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal
Wegen einer fehlenden Berechtigungsprüfung könnte ein nicht autorisierter Benutzer auf die Dateien eines anderen Unternehmens zugreifen. Dies würde die Offenlegung personenbezogener Mitarbeiterdaten zur Folge haben. Auswirkungen auf die Integrität und Verfügbarkeit gibt es jedoch keine.
15. Score 5.3 (Medium Priority)
Nummer: 3571096
[CVE-2025-43004] Schwachstelle mit Blick auf falsche Sicherheitskonfiguration in SAP Digital Manufacturing (Production Operator Dashboard)
Wegen einer fehlerhaften Sicherheitskonfiguration besteht die Möglichkeit, dass Kunden Production Operator Dashboards (PODs) erstellen, die es externen Benutzern erlauben, auf Kundendaten zuzugreifen. Da es an Mechanismen zur Erzwingung der Authentifizierung fehlt, können unautorisierte, böswillige Benutzer sensible Kundeninformationen einsehen. Allerdings hat dies keinerlei Auswirkungen auf die Integrität oder Verfügbarkeit der Daten.
16. Score 4.4 (Medium Priority)
Nummer: 3558755
[CVE-2025-26662] Cross-Site-Scripting-(XSS)-Schwachstelle in Management Console von SAP Data Services
In der Management Console von SAP Data Services werden benutzergesteuerte Eingaben nicht ausreichend kodiert, was es einem Angreifer ermöglicht, schadhafter Code einzuschleusen. Wenn ein gezieltes, bereits angemeldetes Opfer auf den manipulierten Link klickt, wird das injizierte Skript im Browser des Opfers ausgeführt. Dies könnte Auswirkungen auf die Vertraulichkeit und Integrität haben, wobei die Verfügbarkeit nicht betroffen ist.
17. Score 4.3 (Medium Priority)
Nummer: 3574520
[CVE-2025-43005] Schwachstelle bezüglich der Offenlegung von Informationen in SAP GUI for Windows
Ein nicht authentifizierter Angreifer kann in SAP GUI for Windows unsichere Verschleierungsalgorithmen ausnutzen, die von der GuiXT-Anwendung zum Speichern von Benutzeranmeldeinformationen verwendet werden. Dieses Problem hat keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung, könnte jedoch geringe Auswirkungen auf die Vertraulichkeit der Daten haben.
18. Score 4.3 (Medium Priority)
Nummer: 3227940
[CVE-2025-43002] Fehlende Berechtigungsprüfung in SAP S4/HANA (OData-Metadateneigenschaft)
Durch die OData-Metadateneigenschaft von SAP S4CORE kann ein authentifizierter Angreifer aufgrund einer fehlenden Berechtigungsprüfung auf eingeschränkte Informationen zugreifen. Dies hat nur geringe Auswirkungen auf die Vertraulichkeit der Anwendung, während Integrität und Verfügbarkeit der Anwendung unbeeinträchtigt bleiben.
Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.