Hier findet ihr eine Übersicht der SAP Security Notes für April 2025:
1. Score 9.9 (Hot News)
Nummer: 3581961
[CVE-2025-30016] Schwachstelle bezüglich Authentifizierungsumgehung in SAP Financial Consolidation
Durch eine Schwachstelle im über RFC zugänglichen Funktionsbaustein kann ein Angreifer mit entsprechenden Benutzerrechten SAP S/4HANA kompromittieren. Die Lücke erlaubt es, beliebigen ABAP-Code in das System einzuschleusen und dabei zentrale Berechtigungsprüfungen zu umgehen. Diese Sicherheitslücke stellt eine potenzielle Hintertür dar, über die ein vollständiger Systemkompromiss möglich ist – mit gravierenden Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des Systems.
2. Score 9.9 (Hot News)
Nummer: 3587115
[CVE-2025-31330] Code-Injection-Schwachstelle in SAP Landscape Transformation (Analysis Platform)
Ein Angreifer mit entsprechenden Benutzerrechten kann über die SAP Landscape Transformation (SLT) eine Schwachstelle im Funktionsbaustein, der über RFC exponiert ist, ausnutzen. Dadurch ist es möglich, beliebigen ABAP-Code in das System einzuschleusen, wobei wichtige Berechtigungsprüfungen umgangen werden. Diese Sicherheitslücke wirkt wie eine Hintertür und stellt eine Gefahr für den gesamten Systembetrieb dar, da sie das Risiko eines vollständigen Systemkompromisses mit sich bringt und die Vertraulichkeit, Integrität sowie Verfügbarkeit des Systems gefährdet.
3. Score 9.8 (Hot News)
Nummer: 3572688
[CVE-2025-30016] Schwachstelle bezüglich Authentifizierungsumgehung in SAP Financial Consolidation
Durch unsachgemäße Authentifizierungsmechanismen in SAP Financial Consolidation kann ein nicht authentifizierter Angreifer unbefugten Zugriff auf das Administratorkonto erlangen. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
4. Score 8.8 (High priority)
Nummer: 3525794
[CVE-2025-0064] Falsche Berechtigung in SAP-BusinessObjects-Business-Intelligence-Plattform
Ein Angreifer mit gültigen Benutzerrechten kann unter bestimmten Voraussetzungen die SAP BusinessObjects Business Intelligence Plattform ausnutzen, um eine geheime Kennphrase zu erstellen oder auszulesen. Dadurch ist es ihm möglich, sich über lokalen Zugriff auf das Zielsystem als beliebiger Benutzer auszugeben. Diese Schwachstelle kann die Vertraulichkeit sowie die Integrität der Anwendung erheblich gefährden.
Änderungsprotokoll:
v9 (aktuelle Version) – UPDATE vom 8. April 2025: Der SAP-Hinweis wurde erneut veröffentlicht. Dabei wurden kleinere Anpassungen an den Abschnitten „Symptom“ und „Lösung“ vorgenommen; auch die CVSS-Vektoren erhielten ein Update.
v6 (freigegebene Erstversion für Kunden)
5. Score 8.5 (High priority)
Nummer: 3554667
[CVE-2025-23186] Schwachstelle mit Blick auf gemischte dynamische RFC-Destinationen über Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP
SAP NetWeaver Application Server ABAP weist unter bestimmten Voraussetzungen eine Schwachstelle auf, die es einem authentifizierten Angreifer erlaubt, einen Remote Function Call (RFC) an geschützte Zielsysteme zu senden. Dabei können Anmeldeinformationen für einen Remote-Service übermittelt werden. Diese Informationen lassen sich anschließend missbrauchen, um den betreffenden Remote-Service vollständig zu kompromittieren – mit potenziell gravierenden Folgen für Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
6. Score 8.1 (High Priority)
Nummer: 3590984
[CVE-2024-56337] Time-of-Check Time-of-Use (TOCTOU) Race Condition Schwachstelle in Apache Tomcat in SAP Commerce Cloud
In SAP Commerce Cloud kommt eine Apache-Tomcat-Version zum Einsatz, die von einer TOCTOU-Race-Condition betroffen ist (CVE-2024-56337).
Ein nicht authentifizierter Angreifer kann diese Schwachstelle unter bestimmten Voraussetzungen ausnutzen. Bei erfolgreicher Ausnutzung besteht das Risiko einer vollständigen Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems. Der Angriffserfolg hängt jedoch von einer spezifischen Serverkonfiguration ab, die sich der Kontrolle des Angreifers entzieht – ein unmittelbarer Angriff auf SAP Commerce ist daher nicht ohne Weiteres möglich.
7. Score 7.7 (High Priority)
Nummer: 3581811
[CVE-2025-27428] Directory-Traversal-Schwachstelle in SAP NetWeaver und ABAP-Plattform (Servicedatensammlung)
Durch eine Directory-Traversal-Schwachstelle innerhalb eines RFC-fähigen Funktionsbausteins ist es einem autorisierten Angreifer möglich, auf sensible Informationen zuzugreifen. Gelingt der Angriff, kann der Angreifer Dateien aus beliebigen, mit dem SAP Solution Manager verbundenen Systemen auslesen. Dies stellt ein erhebliches Risiko für die Vertraulichkeit dar. Die Integrität und Verfügbarkeit der Systeme bleiben dabei jedoch unbeeinträchtigt.
8. Score 7.7 (High Priority)
Nummer: 2927164
[CVE-2025-30014] Directory-Traversal-Schwachstelle in SAP Capital Yield Tax Management
Aufgrund mangelnder Pfadvalidierung besteht in SAP Capital Yield Tax Management eine Directory-Traversal-Schwachstelle. Ein Angreifer mit nur eingeschränkten Rechten kann dadurch unter Umständen Dateien auslesen, die sich außerhalb seines eigentlichen Zugriffsbereichs befinden. Diese Sicherheitslücke gefährdet in erheblichem Maß die Vertraulichkeit der Daten, während Integrität und Verfügbarkeit unberührt bleiben.
9. Score 6.8 (Medium Priority)
Nummer: 3543274
[CVE-2025-26654] Potenzielle Schwachstelle bei Offenlegung von Informationen in SAP Commerce Cloud (Public Cloud)
In der Public-Cloud-Variante von SAP Commerce Cloud ist es nicht möglich, unverschlüsselten HTTP-Verkehr (Port 80) vollständig zu deaktivieren. Stattdessen wird eine automatische Weiterleitung von HTTP (Port 80) auf HTTPS (Port 443) vorgenommen, wodurch die Kommunikation in der Regel über eine sichere Verbindung erfolgt. Dennoch kann die Vertraulichkeit und Integrität sensibler Daten gefährdet sein – insbesondere dann, wenn der Client so konfiguriert ist, dass er initial über HTTP kommuniziert und bereits mit der ersten Anfrage vertrauliche Informationen überträgt, bevor die Umleitung greift.
10. Score 6.7 (Medium Priority)
Nummer: 3571093
[CVE-2025-30013] Code-Injection-Schwachstelle in SAP ERP BW Business Content
Bestimmte Funktionsbausteine in SAP ERP BW Business Content weisen eine Schwachstelle auf, die die Einschleusung von Betriebssystembefehlen (BS-Befehlen) ermöglicht. Werden diese Bausteine mit erweiterten Berechtigungen ausgeführt, erfolgt keine ausreichende Validierung der Benutzereingaben. Dadurch kann ein Angreifer durch lokalen Zugriff auf das Zielsystem beliebige OS-Befehle einschleusen. Dies kann zur Ausführung unerwünschter Kommandos im zugrunde liegenden System führen und stellt ein ernstzunehmendes Risiko für Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung dar.
11. Score 6.6 (Medium Priority)
Nummer: 3565751
[CVE-2025-31332] Schwachstelle mit Blick auf unsicheren Dateiberechtigungen in SAP-BusinessObjects-Business-Intelligence-Plattform
In der SAP BusinessObjects Business Intelligence Plattform können unsichere Dateiberechtigungen dazu führen, dass ein Angreifer mit lokalem Zugriff Systemdateien manipuliert. Solche Änderungen könnten zu Betriebsstörungen oder Ausfällen von Diensten führen, was erhebliche Auswirkungen auf die Integrität und Verfügbarkeit des Systems haben kann. Die Vertraulichkeit bleibt in diesem Fall jedoch gewahrt, da keine sensiblen Informationen offengelegt werden.
12. Score 5.3 (Medium Priority)
Nummer: 3568307
[CVE-2025-26657] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP KMC WPC
Durch eine einfache Parameterabfrage kann ein nicht authentifizierter Angreifer in SAP KMC WPC remote auf Benutzernamen zugreifen. Dies führt zur Offenlegung sensibler Informationen und stellt ein geringfügiges Risiko für die Vertraulichkeit der Anwendung dar. Die Integrität und Verfügbarkeit bleiben von dieser Schwachstelle unberührt.
13. Score 4.7 (Medium Priority)
Nummer: 3559307
[CVE-2025-26653] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP (Anwendungen auf der Basis von SAP GUI for HTML)
In SAP NetWeaver Application Server ABAP werden benutzergesteuerte Eingaben nicht ausreichend codiert, was eine Cross-Site-Scripting-Schwachstelle (XSS) zur Folge hat. Ein Angreifer kann dadurch, auch ohne spezielle Berechtigungen, schädlichen JavaScript-Code in eine Webseite einschleusen. Sobald ein Nutzer die manipulierte Seite aufruft, wird das Skript im Kontext des Benutzerbrowsers ausgeführt – was potenziell die Vertraulichkeit und Integrität der Sitzung beeinträchtigen kann. Die Verfügbarkeit des Systems bleibt davon unberührt.
14. Score 4.4 (Medium Priority)
Nummer: 3558864
[CVE-2025-30017] Fehlende Berechtigungsprüfung in SAP Solution Manager
SAP Solution Manager 7.1 weist eine fehlende Berechtigungsprüfung auf, die es einem authentifizierten Angreifer erlaubt, eine Datei als Vorlage in der Lösungsdokumentation hochzuladen. Wird diese Schwachstelle ausgenutzt, kann der Angreifer die Integrität und Verfügbarkeit der Anwendung in begrenztem Umfang beeinflussen.
15. Score 4.3 (Medium Priority)
Nummer: 3525971
[CVE-2025-31333] OData-Metadatenmanipulation in SAP-S4CORE-Entität
Die OData-Metadateneigenschaft in SAP S4CORE ist anfällig für Manipulation, wodurch ein externer Angreifer Änderungen an der Entitätsmenge vornehmen kann. Diese Schwachstelle beeinträchtigt in geringem Maße die Integrität der Anwendung. Vertraulichkeit und Verfügbarkeit bleiben dabei unangetastet.
16. Score 4.3 (Medium Priority)
Nummer: 3557131
[CVE-2025-23188] Fehlende Berechtigungsprüfung in SAP S/4HANA (RBD)
Durch das Ausnutzen einer fehlenden Berechtigungsprüfung in einem IBS-Modul von FS-RBD kann ein authentifizierter Benutzer mit geringen Berechtigungen unautorisierten Zugriff auf Aktionen erlangen, die über die vorgesehenen Berechtigungen hinausgehen. Diese Schwachstelle hat nur geringe Auswirkungen auf die Integrität der Anwendung, ohne jedoch die Vertraulichkeit oder Verfügbarkeit zu beeinträchtigen.
17. Score 4.3 (Medium Priority)
Nummer: 3568778
[CVE-2025-27437] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server ABAP (Virenprüfungsschnittstelle)
In der Virenprüfungsschnittstelle von SAP NetWeaver Application Server ABAP fehlt eine notwendige Berechtigungsprüfung. Dadurch ist es einem authentifizierten, jedoch nicht administrativen Benutzer möglich, eine bestimmte Transaktion zu starten. Infolge dessen kann er auf nicht sensible Daten zugreifen – ohne zusätzliche Berechtigungen und ohne die Verfügbarkeit des Systems zu beeinträchtigen. Eine Änderung der Daten ist jedoch nicht möglich.
18. Score 4.2 (Medium Priority)
Nummer: 3539465
[CVE-2025-27435] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud
In SAP Commerce können unter bestimmten Umständen Coupon-Codes von Kunden über URL-Parameter innerhalb einer Kampagnen-URL ungeschützt offengelegt werden. Ein nicht authentifizierter Angreifer könnte auf diese Weise Zugang zu solchen Codes erhalten und sie missbräuchlich verwenden. Dies beeinträchtigt in geringem Maße sowohl die Vertraulichkeit als auch die Integrität der Anwendung.
19. Score 4.1 (Medium Priority)
Nummer: 3565944
[CVE-2025-30015] Speicherbeschädigungsschwachstelle in SAP NetWeaver und ABAP-Plattform (Application Server ABAP)
Eine fehlerhafte Behandlung von Speicheradressen in ABAP SQL innerhalb von SAP NetWeaver und der ABAP-Plattform (Application Server ABAP) ermöglicht es einem autorisierten Angreifer mit weitreichenden Rechten, bestimmte Arten von SQL-Abfragen durchzuführen. Dabei kann der Inhalt der Ausgabevariable manipuliert werden. Diese Schwachstelle hat eine geringe Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.