Zum heutigen SAP Security Patchday (9. Dezember 2025) wurden insgesamt 14 neue Sicherheitshinweise veröffentlicht. Darunter befinden sich drei „HotNews“-Hinweise mit kritischer Priorität (CVSS > 9.0), die sofortige Aufmerksamkeit erfordern.
Hier findet ihr eine Übersicht aller SAP Security Notes für Dezember 2025:
1. Score 9.9 (Hot News) Nummer: 3685270 [CVE-2025-42880] Code-Injection-Schwachstelle in SAP Solution Manager Link: https://me.sap.com/notes/3685270
Im SAP Solution Manager (Komponente ST 720) wurde eine kritische Code-Injection-Schwachstelle identifiziert. Ein authentifizierter Angreifer kann durch das Ausnutzen eines Remote-fähigen Funktionsbausteins (RFC) beliebigen Code auf dem System ausführen. Dies führt zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems. Da der Solution Manager oft als zentrales Verwaltungswerkzeug dient, ist das Risiko hier besonders hoch.
2. Score 9.6 (Hot News) Nummer: 3683579 [CVE-2025-55754] Mehrere Schwachstellen in Apache Tomcat innerhalb der SAP Commerce Cloud Link: https://me.sap.com/notes/3683579
SAP Commerce Cloud verwendet eine Version von Apache Tomcat, die von mehreren Sicherheitslücken betroffen ist (darunter CVE-2025-55754 und CVE-2025-55752). Diese Schwachstellen ermöglichen es Angreifern, die Verfügbarkeit des Dienstes zu beeinträchtigen oder unautorisierten Zugriff zu erlangen. SAP stellt mit diesem Hinweis aktualisierte Versionen bereit, um die betroffenen Komponenten zu patchen.
3. Score 9.1 (Hot News) Nummer: 3685286 [CVE-2025-42928] Deserialisierungsschwachstelle in SAP jConnect (SDK für ASE) Link: https://me.sap.com/notes/3685286
Im SAP jConnect SDK für Adaptive Server Enterprise (ASE) existiert eine Deserialisierungsschwachstelle. Ein Angreifer könnte speziell präparierte Daten an die Anwendung senden, die beim Deserialisieren zur Ausführung von Schadcode oder zu einer Dienstunterbrechung führen. Betroffen sind die Versionen 16.0.4 und 16.1.
4. Score 8.2 (High Priority) Nummer: 3684682 [CVE-2025-42878] Offenlegung sensibler Daten in SAP Web Dispatcher und Internet Communication Manager (ICM) Link: https://me.sap.com/notes/3684682
Eine Schwachstelle im SAP Web Dispatcher und ICM ermöglicht es unter bestimmten Umständen, interne Test-Schnittstellen oder Diagnose-Informationen offenzulegen. Ein unauthentifizierter Angreifer könnte diese Informationen nutzen, um weitere Angriffe vorzubereiten oder sensitive Konfigurationsdetails einzusehen.
5. Score 7.9 (High Priority) Nummer: 3640185 [CVE-2025-42874] Denial-of-Service (DOS) in SAP NetWeaver (Remote-Service für Xcelsius) Link: https://me.sap.com/notes/3640185
Der Remote-Service für Xcelsius in SAP NetWeaver weist eine Schwachstelle bei der Eingabevalidierung auf. Ein Angreifer mit Netzwerkzugriff kann dies ausnutzen, um den Dienst zum Absturz zu bringen oder die Verarbeitung massiv zu stören (Denial of Service). Dies beeinträchtigt die Verfügbarkeit des Systems erheblich.
6. Score 7.5 (High Priority) Nummer: 3677544 [CVE-2025-42877] Speicherbeschädigungsschwachstelle in SAP Web Dispatcher, Internet Communication Manager und SAP Content Server Link: https://me.sap.com/notes/3677544
Aufgrund logischer Fehler in der Speicherverwaltung von Web Dispatcher, ICM und Content Server kann ein authentifizierter Benutzer eine Speicherbeschädigung (Memory Corruption) auslösen. Dies führt in der Regel zum Absturz der betroffenen Prozesse und somit zu einer hohen Beeinträchtigung der Verfügbarkeit.
7. Score 7.5 (High Priority) Nummer: 3650226 [CVE-2025-48976] Denial-of-Service (DoS) in SAP BusinessObjects Management Console Link: https://me.sap.com/notes/3650226
Eine unzureichende Ressourcenverwaltung in der SAP BusinessObjects Management Console erlaubt es einem nicht authentifizierten Angreifer, den Dienst durch Überlastung lahmzulegen. Dies verhindert, dass legitime Benutzer auf die Anwendung zugreifen können.
8. Score 7.1 (High Priority) Nummer: 3672151 [CVE-2025-42876] Fehlende Berechtigungsprüfung in SAP S/4HANA Cloud (Finanzwesen: Hauptbuch) Link: https://me.sap.com/notes/3672151
Im Finanzwesen (Hauptbuch) der SAP S/4HANA Cloud fehlt eine spezifische Berechtigungsprüfung. Dadurch kann ein authentifizierter Angreifer mit eigentlich geringen Rechten buchungskreisübergreifend Belege lesen, ändern oder buchen. Dies stellt ein ernsthaftes Risiko für die Vertraulichkeit und Integrität von Finanzdaten dar.
9. Score 6.6 (Medium Priority) Nummer: 3591163 [CVE-2025-42875] Fehlende Authentifizierungsprüfung in SAP Internet Communication Framework Link: https://me.sap.com/notes/3591163
Das SAP Internet Communication Framework (ICF) führt für bestimmte Services keine korrekte Authentifizierungsprüfung durch. Ein Angreifer mit hohen Privilegien könnte dies nutzen, um eine Benutzeridentität wiederzuverwenden. Dies verstößt gegen sichere Authentifizierungsstandards.
10. Score 6.5 (Medium Priority) Nummer: 3662324 [CVE-2025-42904] Offenlegung von Informationen in Application Server ABAP Link: https://me.sap.com/notes/3662324
Durch eine fehlerhafte Maskierung in ABAP-Listen kann ein authentifizierter Angreifer im Application Server ABAP sensible Daten einsehen, die eigentlich maskiert sein sollten. Dies führt zu einer unautorisierten Offenlegung von Informationen.
11. Score 6.1 (Medium Priority) Nummer: 3662622 [CVE-2025-42872] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Enterprise Portal Link: https://me.sap.com/notes/3662622
Im SAP NetWeaver Enterprise Portal wurde eine Reflected XSS-Schwachstelle entdeckt. Da URL-Parameter nicht ausreichend bereinigt werden, kann Schadcode im Browser des Opfers ausgeführt werden, was potenziell zum Diebstahl von Sitzungsdaten führt.
12. Score 5.9 (Medium Priority) Nummer: 3676970 [CVE-2025-42873] Denial of Service (DoS) in SAPUI5 (Markdown-it-Komponente) Link: https://me.sap.com/notes/3676970
SAPUI5 verwendet die Drittanbieter-Bibliothek „markdown-it“, die in älteren Versionen anfällig für eine Endlosschleife bei der Verarbeitung fehlerhafter Eingaben ist. Dies kann zu einer hohen CPU-Last führen und die Anwendung blockieren.
13. Score 5.5 (Medium Priority) Nummer: 3659117 [CVE-2025-42891] Fehlende Berechtigungsprüfung in SAP Enterprise Search für ABAP Link: https://me.sap.com/notes/3659117
In SAP Enterprise Search für ABAP können authentifizierte Benutzer aufgrund einer fehlenden Berechtigungsprüfung Datenbanktabelleninhalte lesen und exportieren, auf die sie keinen Zugriff haben sollten.
14. Score 5.4 (Medium Priority) Nummer: 3651390 [CVE-2025-42896] Server-Side Request Forgery (SSRF) in SAP BusinessObjects Business Intelligence Plattform Link: https://me.sap.com/notes/3651390
Ein nicht authentifizierter Angreifer kann die SAP BusinessObjects BI-Plattform dazu bringen, bösartige URLs abzurufen (SSRF). Dies geschieht über manipulierte Parameter auf der Anmeldeseite und kann zur Offenlegung interner Netzwerkinformationen führen.
Wir empfehlen euch dringend, insbesondere die HotNews und High Priority Patches so schnell wie möglich zu installieren, um eure SAP-Landschaft abzusichern.