Hier findet ihr eine Übersicht der SAP Security Notes für Januar 2025:
1. Score 9.9 (Hot News)
Nummer: 3537476
[CVE-2025-0070] Falsche Authentifizierung in SAP NetWeaver ABAP Server und ABAP-Plattform
Mit dem SAP NetWeaver Application Server für ABAP und der ABAP-Plattform besteht für einen authentifizierten Angreifer die Möglichkeit, unbefugten Zugriff auf das System zu erhalten, indem er Schwächen in der Authentifizierungsprüfung ausnutzt. Dies kann zu einer Eskalation der Berechtigungen führen und im Erfolgsfall Sicherheitsrisiken hervorrufen. Solche Vorfälle könnten erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben.
2. Score 9.9 (Hot News)
Nummer: 3550708
[CVE-2025-0066] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver AS für ABAP und ABAP-Plattform (Internet Communication Framework)
Unter bestimmten Umständen kann SAP NetWeaver AS für ABAP und die ABAP-Plattform (Internet Communication Framework) einem Angreifer aufgrund unzureichender Zugriffskontrollen den Zugang zu vertraulichen Informationen ermöglichen. Dies könnte gravierende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit einer Anwendung haben.
3. Score 8.8 (High priority)
Nummer: 3550816
[CVE-2025-0063] SQL-Injection-Schwachstelle in SAP NetWeaver AS für ABAP und ABAP-Plattform
Wenn ein Benutzer bestimmte RFC-Funktionsbausteine aufruft, wird von SAP NetWeaver AS ABAP und der ABAP-Plattform keine Berechtigungsprüfung durchgeführt. Dies eröffnet einem Angreifer mit einfachen Benutzerrechten die Möglichkeit, Zugriff auf die Daten in der Informix-Datenbank zu erlangen, was die Vertraulichkeit, Integrität und Verfügbarkeit der Daten vollständig gefährden kann.
4. Score 8.7 (High priority)
Nummer: 3469791
[CVE-2025-0061] Mehrere Schwachstellen in SAP-BusinessObjects-Business-Intelligence-Plattform
Dieser Sicherheitshinweis von SAP beschreibt zwei Schwachstellen, die in der BusinessObjects-Business-Intelligence-Plattform erkannt wurden. Im Folgenden werden die Details zu den Schwachstellen sowie die entsprechenden CVE- und CVSS-Bewertungen erläutert:
Informationsoffenlegung (CVE-2025-0061): Aufgrund einer Sicherheitslücke in der Plattform kann ein nicht authentifizierter Angreifer über das Netzwerk ein Session-Hijacking durchführen, ohne dass eine Benutzerinteraktion erforderlich ist. Dadurch erhält der Angreifer Zugriff auf Benutzerdaten innerhalb der Anwendung und hat die Möglichkeit, diese zu verändern.
CVSS-Wertung: 8.7; CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:NCode Injection (CVE-2025-0060): Ein Benutzer mit eingeschränkten Rechten hat die Möglichkeit, schädlichen JavaScript-Code in das System einzuschleusen. Dieser Code kann vertrauliche Informationen vom Server auslesen und an den Angreifer weiterleiten. Darüber hinaus kann der Angreifer diese Informationen nutzen, um sich als ein Benutzer mit erweiterten Berechtigungen auszugeben, was gravierende Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben kann.
CVSS-Wertung: 6.5; CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
5. Score 7.8 (High priority)
Nummer: 3542533
[CVE-2025-0069] DLL-Hijacking-Schwachstelle in SAPSetup
Eine Schwachstelle im SAPSetup ermöglicht es einem Angreifer, mithilfe von DLL-Injection erweiterte Zugriffsrechte zu erlangen. Ein lokaler Benutzer oder jemand mit Zugang zu einem kompromittierten Windows-Konto eines Unternehmens kann diese Sicherheitslücke ausnutzen, um sich im Netzwerk lateral zu bewegen und das Active Directory weiter anzugreifen. Dies stellt ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Windows-Servers dar.
6. Score 6.5 (Mediumpriority)
Nummer: 3542698
[CVE-2025-0058] Schwachstelle bezüglich der Offenlegung von Informationen in SAP Business Workflow und SAP Flexible Workflow
Ein authentifizierter Angreifer kann in SAP Business Workflow und SAP Flexible Workflow einen Parameter in einer legitimen Ressourcenanfrage manipulieren. Dadurch erhält er Zugriff auf vertrauliche Informationen, die normalerweise nur eingeschränkt einsehbar sein sollten. Der Angreifer hat jedoch keine Möglichkeit, die angezeigten Daten zu verändern oder ihren Zugriff einzuschränken.
7. Score 6.3 (Medium priority)
Nummer: 3540108
[CVE-2025-0067] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server Java
Eine fehlende Berechtigungsprüfung für bestimmte Service-Endpunkte im SAP NetWeaver Application Server Java ermöglicht es einem Angreifer mit Standardbenutzerrechten, JCo-Verbindungseinträge zu erstellen. Diese Einträge können sowohl für eingehende als auch ausgehende Remote Function Calls des Anwendungsservers genutzt werden. Obwohl diese Schwachstelle nur geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat, stellt sie dennoch ein potenzielles Sicherheitsrisiko dar.
8. Score 6.0 (Medium priority)
Nummer: 3502459
[CVE-2025-0056] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP GUI for Java
Die SAP GUI für Java speichert Benutzerdaten auf dem Client-Computer, um die Nutzungserfahrung zu verbessern. Wenn ein Angreifer Administratorrechte besitzt oder Zugang zum Benutzerverzeichnis auf Betriebssystemebene hat, kann er diese Informationen einsehen. Je nachdem, welche Daten der Benutzer in den Transaktionen eingibt, können die offengelegten Informationen von unkritischen bis hin zu hochsensiblen Daten reichen, was die Vertraulichkeit der Anwendung erheblich gefährden kann.
9. Score 6.0 (Medium priority)
Nummer: 3472837
[CVE-2025-0055] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP GUI for Windows
Die SAP GUI für Windows speichert Eingaben der Nutzer auf dem Client, um die Nutzung zu erleichtern. Unter besonderen Bedingungen könnte ein Angreifer, der über Administratorrechte oder Zugriff auf das Benutzerverzeichnis auf Betriebssystemebene verfügt, in der Lage sein, diese Daten auszulesen. Abhängig von den eingegebenen Informationen in Transaktionen könnten dabei Daten aufgedeckt werden, die von unkritisch bis hin zu hochsensibel reichen, was die Vertraulichkeit der Anwendung erheblich gefährdet.
10. Score 6.0 (Medium priority)
Nummer: 3503138
[CVE-2025-0059] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server ABAP (Anwendungen, die auf SAP GUI for HTML basieren)
Anwendungen, die auf der SAP GUI for HTML im SAP NetWeaver Application Server ABAP basieren, speichern Eingaben der Nutzer im lokalen Browser-Speicher, um die Bedienung zu erleichtern. Ein Angreifer, der über Administratorrechte verfügt oder Zugang zum Benutzerverzeichnis auf Betriebssystemebene hat, kann diese Daten einsehen. Je nach den eingegebenen Informationen in den Transaktionen können die offengelegten Daten von wenig kritischen bis hin zu hochsensiblen Informationen reichen, was erhebliche Risiken für die Vertraulichkeit der Anwendung darstellt.
11. Score 5.3 (Medium priority)
Nummer: 3536461
[CVE-2025-0053] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform
Der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform bieten einem Angreifer die Möglichkeit, unbefugt auf Systeminformationen zuzugreifen. Durch Manipulation eines spezifischen URL-Parameters kann ein nicht authentifizierter Angreifer Informationen wie die Systemkonfiguration einsehen. Dies stellt nur eine geringe Bedrohung für die Vertraulichkeit der Anwendung dar, könnte jedoch als Grundlage für weitergehende Angriffe oder Exploits dienen.
12. Score 4.8 (Medium priority)
Nummer: 3514421
[CVE-2025-0057] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS JAVA (Benutzerverwaltungsanwendung)
Die SAP NetWeaver AS JAVA (User Admin Application) weist eine Schwachstelle in Form von Stored Cross-Site-Scripting (XSS) auf. Ein Angreifer, der sich als Administrator ausgibt, könnte ein Bild mit schädlichem JavaScript-Code hochladen. Wenn ein Opfer die betroffene Komponente aufruft, wäre der Angreifer in der Lage, Daten im Webbrowser des Opfers zu lesen und zu manipulieren.
13. Score 4.3 (Medium priority)
Nummer: 3550674
[CVE-2025-0068] Fehlende Berechtigungsprüfung in Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP
Eine nicht mehr aktualisierte Funktion im SAP NetWeaver Application Server ABAP führt keine angemessenen Berechtigungsprüfungen durch. Dadurch könnte ein authentifizierter Angreifer auf Informationen zugreifen, die normalerweise nicht zugänglich wären. Diese Lücke hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.
Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.