´SAP hat eine wichtige Ergänzung zu den Security Notes vom April 2025 herausgebracht:
1. Score 10 (Hot News)
Nummer: 3594142
[CVE-2025-31324] Fehlende Berechtigungsprüfung in SAP NetWeaver (Visual Composer Development Server)
Im SAP NetWeaver Visual Composer ist der Metadaten-Uploader nicht ausreichend durch Berechtigungen abgesichert. Dadurch kann ein nicht authentifizierter Akteur potenziell schädliche ausführbare Binärdateien hochladen, die das Hostsystem gravierend beeinträchtigen könnten. Dies stellt eine erhebliche Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Zielsystems dar.
2. Score 9.9 (Hot News)
Nummer: 3587115
[CVE-2025-31330] Code-Injection-Schwachstelle in SAP Landscape Transformation (Analyseplattform)
SAP Landscape Transformation (SLT) weist eine Schwachstelle im über RFC erreichbaren Funktionsbaustein auf, die von einem Angreifer mit entsprechenden Benutzerberechtigungen ausgenutzt werden kann. Dadurch ist es möglich, beliebigen ABAP-Code in das System einzuschleusen und wesentliche Berechtigungsprüfungen zu umgehen. Diese Sicherheitslücke wirkt faktisch wie eine Hintertür und birgt das Risiko eines vollständigen Systemkompromisses, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich gefährdet werden.
Änderungsprotokoll:
v9 (aktuelle Version) – Aktualisiert am 22. April 2025: Der Hinweis wurde mit aktualisierten Informationen zur Korrekturanleitung erneut veröffentlicht. Korrekturen für DMIS 2018 und DMIS 2020 sind nun verfügbar.
v7 (Vorversion) – Aktualisiert am 14. April 2025: Aktualisierte Informationen zur Korrekturanleitung hinzugefügt.
v5 (Initialversion) – Erste Veröffentlichung für Kunden.
3. Score 9.9 (Hot News)
Nummer: 3581961
[CVE-2025-27429] Code-Injection-Schwachstelle in SAP S/4HANA (Private Cloud oder On-Premise)
SAP S/4HANA enthält eine Schwachstelle in einem über RFC exponierten Funktionsbaustein, die von einem Angreifer mit Benutzerberechtigungen ausgenutzt werden kann. Dadurch besteht die Möglichkeit, beliebigen ABAP-Code in das System einzuschleusen und grundlegende Berechtigungsprüfungen zu umgehen. Diese Sicherheitslücke fungiert praktisch als Hintertür und birgt das Risiko einer vollständigen Kompromittierung des Systems, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit erheblich beeinträchtigt werden können.
Änderungsprotokoll:
v4 (aktuelle Version) – Aktualisiert am 14. April 2025: Der SAP-Hinweis wurde mit überarbeiteten Informationen zur Gültigkeit erneut veröffentlicht.
v3 (Initialversion) – Erste Freigabe für Kunden.
4. Score 4.6 (Medium Priority)
Nummer: 3446649
[CVE-2025-31328] Cross-Site-Request-Forgery-Schwachstelle (CSRF) in SAP S/4HANA (Learning Solution)
SAP Learning Solution weist eine Anfälligkeit für Cross-Site Request Forgery (CSRF) auf, durch die ein Angreifer authentifizierte Benutzer dazu verleiten kann, unbeabsichtigte Anfragen an den Server zu senden. Dabei ist insbesondere die GET-basierte OData-Funktion betroffen, deren Benennung das erwartete Verhalten unterläuft. Diese Schwachstelle kann die Vertraulichkeit und Integrität der Anwendung beeinträchtigen, ohne Auswirkungen auf deren Verfügbarkeit zu haben.
5. Score 4.3 (Medium Priority)
Nummer: 3446649
[CVE-2025-31327] OData-Metadateneigenschafts-Entitätsmanipulation in SAP Field Logistics
Die OData-Metadateneigenschaft der Anwendung „Logistik verwalten“ in SAP Field Logistics ist anfällig für Datenmanipulation. Dadurch können bestimmte Felder von einem externen Angreifer verändert werden, was eine geringe Beeinträchtigung der Integrität der Anwendung zur Folge hat. Die Vertraulichkeit und Verfügbarkeit bleiben davon unberührt.
Hinweis:
WARNUNG: Dies ist ein CA-FL-spezifischer Hinweis (Field Logistics). Wenn Feldlogistik in Ihrem System nicht aktiviert ist, ist dieser Hinweis für Sie nicht relevant.
Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.