
Hier findet ihr eine Übersicht der SAP Security Notes für Februar 2025:
1. Score 8.8 (High Priority)
Nummer: 3417627
[CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)
Durch unzureichende Validierung und fehlerhafte Kodierung der eingehenden URL-Parameter in der Benutzerverwaltungsanwendung von SAP NetWeaver AS for Java entstehen Sicherheitslücken. Diese Fehler führen zu einer Cross-Site-Scripting-Schwachstelle (XSS), die hauptsächlich die Vertraulichkeit gefährdet, aber auch geringe Auswirkungen auf die Integrität und Verfügbarkeit hat.
2. Score 8.7 (High Priority)
Nummer: 3525794
[CVE-2025-0064] Falsche Berechtigung in der SAP-BusinessObjects-Business-Intelligence-Plattform (Central Management Console)
Bei bestimmten Voraussetzungen bietet die Central Management Console der SAP-BusinessObjects-Business-Intelligence-Plattform einem Angreifer mit Administratorrechten die Möglichkeit, eine geheime Passphrase zu erstellen oder abzurufen. Dadurch kann er sich als legitimer Benutzer im System ausgeben. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit und Integrität, jedoch keine auf die Verfügbarkeit.
3. Score 8.6 (High priority)
Nummer: 3567551
[CVE-2025-25243] Pfad-Traversal-Schwachstelle in SAP Supplier Relationship Management (Stammdatenmanagement-Katalog)
Ein nicht authentifizierter Angreifer kann mit SAP Supplier Relationship Management (Stammdatenmanagement-Katalog) ein öffentlich zugängliches Servlet ausnutzen, um eine beliebige Datei über das Netzwerk herunterzuladen – ganz ohne Interaktion des Benutzers. Auf diese Weise können vertrauliche Daten preisgegeben werden, ohne die Integrität oder Verfügbarkeit zu beeinträchtigen.
4. Score 8.1 (High priority)
Nummer: 3567974
[CVE-2025-24876] Authentifizierungsumgehung über Berechtigungscode-Injection in SAP Approuter
Ältere Versionen von SAP Approuter vor der Version 16.7.2 sind anfällig für eine Authentifizierungsumgehung aufgrund einer Berechtigungscode-Injection, die in der CVE-2025-24876 beschrieben wird.
5. Score 7.5 (High priority)
Nummer: 3567172
[CVE-2024-38819] Mehrere Schwachstellen in SAP Enterprise Project Connection
Die verwendeten Versionen der Spring-Framework-Open-Source-Bibliotheken in SAP Enterprise Project Connection könnten Sicherheitslücken aufweisen, die in der Rubrik „Weitere Begriffe“ dieses SAP-Sicherheitshinweises mit den entsprechenden CVEs aufgeführt sind.
6. Score 7.1 (High Priority)
Nummer: 3563929
[CVE-2025-24868] Open-Redirect-Schwachstelle in den erweiterten Anwendungsservices von SAP HANA, erweitertes Modell(User Account and Authentication Services)
Der User Account and Authentication Service (UAA) für SAP HANA mit dem erweiterten Modell (SAP HANA XS Advanced Model) bietet einem nicht authentifizierten Angreifer die Möglichkeit, einen schädlichen Link zu erstellen. Klickt ein Opfer auf diesen Link, wird der Browser aufgrund unzureichender Validierung der Umleitungs-URL auf eine gefährliche Seite umgeleitet. Wenn der Angriff erfolgreich ist, kann er eingeschränkte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems verursachen.
7. Score 6.8 (Medium Priority)
Nummer: 3555364
[CVE-2025-24875] Tiefgreifende Verteidigung via SameSite für einige Cookies in SAP Commerce nicht angewendet
In SAP Commerce werden bestimmte Cookies gesetzt, wobei das SameSite-Attribut standardmäßig auf den Wert „None“ (SameSite=None) konfiguriert ist. Dies betrifft auch die Authentifizierungs-Cookies, die im SAP Commerce Backoffice verwendet werden. Diese Einstellung schwächt die Schutzmechanismen gegen CSRF-Angriffe und könnte zukünftig zu Kompatibilitätsproblemen führen.
8. Score 6.0 (Medium Priority)
Nummer: 3559510
[CVE-2025-24874] Fehlende tiefgreifende Verteidigung gegen Clickjacking in SAP Commerce (Backoffice)
SAP Commerce (Backoffice) setzt den veralteten X-FRAME-OPTIONS-Header ein, um sich vor Clickjacking-Angriffen zu schützen. Obwohl dieser Schutz aktuell noch funktioniert, könnte er in Zukunft obsolet werden, da Browser die Unterstützung für diesen Header zugunsten der CSP-Direktive „frame-ancestors“ einstellen könnten. Dies würde Clickjacking-Angriffe ermöglichen und zur Offenlegung sowie Veränderung sensibler Informationen führen.
9. Score 6.1 (Medium Priority)
Nummer: 3445708
[CVE-2025-24867] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-BusinessObjects-Business-Intelligence-Plattform (BI-Launchpad)
In der SAP-BusinessObjects-Business-Intelligence-Plattform (BI Launchpad) erfolgt die Verarbeitung benutzergenerierter Eingaben nicht ausreichend, was eine Cross-Site-Scripting-Sicherheitslücke (XSS) zur Folge hat. Ein nicht authentifizierter Angreifer kann eine URL erstellen, die ein schädliches Skript in einen ungeschützten Parameter einschleust. Klickt ein Opfer auf den Link, wird das Skript im Browser ausgeführt, wodurch der Angreifer auf Web-Client-Daten zugreifen und/oder diese verändern kann, ohne dass die Verfügbarkeit beeinträchtigt wird.
10. Score 6.1 (Medium Priority)
Nummer: 3557138
Aktualisierung 1 zu Sicherheitshinweis 3417627 – [CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)
Dieser SAP-Sicherheitshinweis stellt eine Aktualisierung des Sicherheitshinweises 3417627 dar. Die in diesem früheren Sicherheitshinweis bereitgestellte Korrektur ist mittlerweile ungültig.
- Kunden sollten diesen neuen Sicherheitshinweis umgehend einspielen, um die vollständige Korrektur zu erhalten. Kunden, die bereits den Sicherheitshinweis 3417627 angewendet haben, müssen ebenfalls diesen neuen Sicherheitshinweis installieren, um die vollständige Behebung des Problems zu gewährleisten.
- Die UserAdmin-Anwendung in SAP NetWeaver AS for Java (SAP NW AS Java) überprüft die eingehenden URL-Parameter nicht ausreichend. Dies ermöglicht es einem nicht authentifizierten Angreifer, schadhafte Links zu erstellen, die gefährliche Skripte enthalten. Wird ein solcher Link von einem Opfer angeklickt, wird das Skript im Browser des Opfers ausgeführt, was zu unberechtigtem Zugriff auf oder Änderungen an vertraulichen Informationen führen kann.
11. Score 6.0 (Medium Priority)
Nummer: 3562336
[CVE-2025-24870] Unsichere Schwachstelle in Bezug auf Schlüssel und Secret-Verwaltung in SAP GUI for Windows
Die Anmeldeinformationen für SAP GUI for Windows und den RFC-Service werden irrtümlich im Speicher des Programms abgelegt. Ein Angreifer mit entsprechenden Berechtigungen auf der Client-Seite könnte dadurch auf Informationen im Application Server ABAP zugreifen. Im Backend-System sind keine Benutzeranmeldungen erforderlich. Bei erfolgreicher Ausnutzung könnte dies zur Offenlegung hochsensibler Daten führen, ohne die Integrität oder Verfügbarkeit zu beeinträchtigen.
12. Score 5.5 (Medium Priority)
Nummer: 3540273
[CVE-2024-45216] Mehrere Schwachstellen in Apache Solr in SAP Commerce Cloud
SAP Commerce Cloud nutzt eine verwundbare Version von Apache Solr, die es einem Angreifer ermöglicht, auf die Datenbank zuzugreifen, sofern bestimmte Voraussetzungen erfüllt sind. Dies könnte geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit zur Folge haben.
13. Score 5.4 (Medium Priority)
Nummer: 3526203
[CVE-2025-0054] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server Java
SAP NetWeaver Application Server Java verarbeitet Benutzereingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Sicherheitslücke führt. Angreifern mit grundlegenden Berechtigungen wird ermöglicht, eine JavaScript-Payload auf dem Server abzulegen, die später im Webbrowser des Opfers ausgeführt wird. Dies könnte es dem Angreifer erlauben, Informationen im Zusammenhang mit der anfälligen Webseite zu lesen oder zu verändern.
14. Score 5.4 (Medium Priority)
Nummer: 3532025
[CVE-2025-25241] Fehlende Berechtigungsprüfung in Referenzbibliothek für SAP-Fiori-Apps („Meine Mehrarbeitsanträge“)
Ein in der Anwendung authentifizierter Angreifer kann aufgrund einer fehlenden Berechtigungsprüfung auf „Meine Mehrarbeitsanträge“ zugreifen und diese löschen. Dadurch erhält der Angreifer möglicherweise Zugriff auf Mitarbeiterinformationen. Dies hat geringe Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, jedoch keine auf die Verfügbarkeit.
15. Score 5.3 (Medium Priority)
Nummer: 3546470
[CVE-2025-23187] Fehlende Berechtigungsprüfung in SAP NetWeaver und ABAP-Plattform (SDCCN)
Dieser Sicherheitshinweis behandelt zwei Schwachstellen aufgrund fehlender Berechtigungsprüfungen in SDCCN. Die Details zu den Schwachstellen sowie die entsprechenden CVE- und CVSS-Informationen sind im Folgenden aufgeführt.
CVE-2025-23187: Wegen einer fehlenden Berechtigungsprüfung in einem RFC-fähigen Funktionsbaustein der Transaktion SDCCN kann ein nicht authentifizierter Angreifer technische Metadaten erzeugen. Dies hat nur geringe Auswirkungen auf die Integrität, jedoch keine auf die Vertraulichkeit oder Verfügbarkeit.
CVSS: 5.3; CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVE-2025-23189: Durch eine fehlende Berechtigungsprüfung in einem RFC-fähigen Funktionsbaustein der Transaktion SDCCN kann ein authentifizierter Angreifer technische Metadaten erstellen. Auch hier sind die Auswirkungen auf die Integrität gering, während es keine Auswirkungen auf Vertraulichkeit oder Verfügbarkeit gibt.
CVSS: 4.3; CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
16. Score 5.3 (Medium Priority)
Nummer: 3561264
[CVE-2025-23193] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP
SAP NetWeaver Server ABAP lässt es einem nicht authentifizierten Angreifer zu, eine Schwachstelle auszunutzen, bei der der Server je nach Vorhandensein eines bestimmten Benutzers unterschiedlich reagiert. Dies könnte dazu führen, dass sensible Informationen offengelegt werden. Das Problem führt jedoch zu keiner Änderung der Daten und beeinträchtigt nicht die Verfügbarkeit des Servers.
17. Score 5.3 (Medium Priority)
Nummer: 3287784
[CVE-2023-24527] Falsche Zugriffskontrolle in SAP NetWeaver AS Java für Deploy Service
Durch das Fehlen von Berechtigungsprüfungen für benutzerbezogene Funktionen im Deploy Service von SAP NetWeaver Application Server Java kann ein nicht authentifizierter Angreifer eine offene Schnittstelle nutzen und über eine ungeschützte Namens- und Verzeichnis-API auf einen Service zugreifen. Dies ermöglicht den Zugriff auf Servereinstellungen und Daten, wobei jedoch keine Auswirkungen auf die Verfügbarkeit oder Integrität entstehen und keine Änderungen vorgenommen werden können.
18. Score 4.3 (Medium Priority)
Nummer: 3553753
[CVE-2025-24872] Fehlende Berechtigungsprüfung in der SAP-ABAP-Plattform (ABAP Build Framework)
Im ABAP Build Framework von SAP-ABAP besteht die Möglichkeit für einen authentifizierten Angreifer, unbefugten Zugriff auf eine bestimmte Transaktion zu erlangen. Durch die Nutzung der Add-On-Build-Funktion im ABAP Build Framework kann der Angreifer die Transaktion aufrufen und die zugehörigen Details einsehen. Dies hat nur begrenzte Auswirkungen auf die Vertraulichkeit der Anwendung, ohne die Integrität oder Verfügbarkeit der Anwendung zu beeinträchtigen.
19. Score 4.3 (Medium Priority)
Nummer: 3550027
[CVE-2025-24869] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server Java
SAP NetWeaver Application Server Java erlaubt es einem Angreifer, auf einen Endpunkt zuzugreifen, der Informationen über bereitgestellte Serverkomponenten, einschließlich ihrer XML-Definitionen, preisgeben kann. Diese Informationen sollten eigentlich nur für Kundenadministratoren zugänglich sein, auch wenn sie möglicherweise nicht zwingend benötigt werden. Da die XML-Dateien mit dem Server bereitgestellt werden, sind sie nicht vollständig intern in SAP, was in diesem Fall zur Offenlegung sensibler Daten führen kann, ohne die Integrität oder Verfügbarkeit zu gefährden.
20. Score 4.3 (Medium Priority)
Nummer: 3547581
[CVE-2025-23190] Fehlende Berechtigungsprüfung in SAP NetWeaver und ABAP-Plattform (ST-PI)
Wegen einer fehlenden Berechtigungsprüfung kann ein authentifizierter Angreifer einen remotefähigen Funktionsbaustein aufrufen, um auf Daten zuzugreifen, auf die er normalerweise keinen Zugriff hätte. Der Angreifer kann jedoch weder Daten verändern noch die Verfügbarkeit des Systems beeinträchtigen.
21. Score 3.1 (Low Priority)
Nummer: 3426825
[CVE-2025-23191] Cache Poisoning durch Header-Manipulationsschwachstelle in SAP Fiori für SAP ERP
Werte, die im Cache für den SAP-OData-Endpunkt in SAP Fiori für SAP ERP gespeichert sind, können manipuliert werden, indem der Host-Header-Wert in einer HTTP-GET-Anfrage verändert wird. Ein Angreifer könnte dadurch die Werte in den zurückgegebenen Metadaten ändern und sie auf einen schädlichen Link umleiten, den er selbst festgelegt hat. Wird diese Schwachstelle erfolgreich ausgenutzt, kann dies geringe Auswirkungen auf die Integrität der Anwendung haben.
Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.