Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für April 2025:

1. Score 9.9   (Hot News)

Nummer: 3581961

[CVE-2025-30016] Schwachstelle bezüglich Authentifizierungsumgehung in SAP Financial Consolidation

Durch eine Schwachstelle im über RFC zugänglichen Funktionsbaustein kann ein Angreifer mit entsprechenden Benutzerrechten SAP S/4HANA kompromittieren. Die Lücke erlaubt es, beliebigen ABAP-Code in das System einzuschleusen und dabei zentrale Berechtigungsprüfungen zu umgehen. Diese Sicherheitslücke stellt eine potenzielle Hintertür dar, über die ein vollständiger Systemkompromiss möglich ist – mit gravierenden Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

2. Score 9.9  (Hot News)

Nummer: 3587115

[CVE-2025-31330] Code-Injection-Schwachstelle in SAP Landscape Transformation (Analysis Platform)

Ein Angreifer mit entsprechenden Benutzerrechten kann über die SAP Landscape Transformation (SLT) eine Schwachstelle im Funktionsbaustein, der über RFC exponiert ist, ausnutzen. Dadurch ist es möglich, beliebigen ABAP-Code in das System einzuschleusen, wobei wichtige Berechtigungsprüfungen umgangen werden. Diese Sicherheitslücke wirkt wie eine Hintertür und stellt eine Gefahr für den gesamten Systembetrieb dar, da sie das Risiko eines vollständigen Systemkompromisses mit sich bringt und die Vertraulichkeit, Integrität sowie Verfügbarkeit des Systems gefährdet.

3. Score 9.8  (Hot News)

Nummer: 3572688

[CVE-2025-30016] Schwachstelle bezüglich Authentifizierungsumgehung in SAP Financial Consolidation

Durch unsachgemäße Authentifizierungsmechanismen in SAP Financial Consolidation kann ein nicht authentifizierter Angreifer unbefugten Zugriff auf das Administratorkonto erlangen. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

4. Score 8.8   (High priority)

Nummer: 3525794

[CVE-2025-0064] Falsche Berechtigung in SAP-BusinessObjects-Business-Intelligence-Plattform

Ein Angreifer mit gültigen Benutzerrechten kann unter bestimmten Voraussetzungen die SAP BusinessObjects Business Intelligence Plattform ausnutzen, um eine geheime Kennphrase zu erstellen oder auszulesen. Dadurch ist es ihm möglich, sich über lokalen Zugriff auf das Zielsystem als beliebiger Benutzer auszugeben. Diese Schwachstelle kann die Vertraulichkeit sowie die Integrität der Anwendung erheblich gefährden.

Änderungsprotokoll:

v9 (aktuelle Version) – UPDATE vom 8. April 2025: Der SAP-Hinweis wurde erneut veröffentlicht. Dabei wurden kleinere Anpassungen an den Abschnitten „Symptom“ und „Lösung“ vorgenommen; auch die CVSS-Vektoren erhielten ein Update.

v6 (freigegebene Erstversion für Kunden)

5. Score 8.5   (High priority)

Nummer: 3554667

[CVE-2025-23186] Schwachstelle mit Blick auf gemischte dynamische RFC-Destinationen über Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

SAP NetWeaver Application Server ABAP weist unter bestimmten Voraussetzungen eine Schwachstelle auf, die es einem authentifizierten Angreifer erlaubt, einen Remote Function Call (RFC) an geschützte Zielsysteme zu senden. Dabei können Anmeldeinformationen für einen Remote-Service übermittelt werden. Diese Informationen lassen sich anschließend missbrauchen, um den betreffenden Remote-Service vollständig zu kompromittieren – mit potenziell gravierenden Folgen für Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

6. Score 8.1   (High Priority)

Nummer: 3590984

[CVE-2024-56337] Time-of-Check Time-of-Use (TOCTOU) Race Condition Schwachstelle in Apache Tomcat in SAP Commerce Cloud

In SAP Commerce Cloud kommt eine Apache-Tomcat-Version zum Einsatz, die von einer TOCTOU-Race-Condition betroffen ist (CVE-2024-56337).

Ein nicht authentifizierter Angreifer kann diese Schwachstelle unter bestimmten Voraussetzungen ausnutzen. Bei erfolgreicher Ausnutzung besteht das Risiko einer vollständigen Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems. Der Angriffserfolg hängt jedoch von einer spezifischen Serverkonfiguration ab, die sich der Kontrolle des Angreifers entzieht – ein unmittelbarer Angriff auf SAP Commerce ist daher nicht ohne Weiteres möglich.

7. Score 7.7   (High Priority)

Nummer: 3581811

 [CVE-2025-27428] Directory-Traversal-Schwachstelle in SAP NetWeaver und ABAP-Plattform (Servicedatensammlung)

Durch eine Directory-Traversal-Schwachstelle innerhalb eines RFC-fähigen Funktionsbausteins ist es einem autorisierten Angreifer möglich, auf sensible Informationen zuzugreifen. Gelingt der Angriff, kann der Angreifer Dateien aus beliebigen, mit dem SAP Solution Manager verbundenen Systemen auslesen. Dies stellt ein erhebliches Risiko für die Vertraulichkeit dar. Die Integrität und Verfügbarkeit der Systeme bleiben dabei jedoch unbeeinträchtigt.

8. Score 7.7   (High Priority)

Nummer: 2927164

[CVE-2025-30014] Directory-Traversal-Schwachstelle in SAP Capital Yield Tax Management

Aufgrund mangelnder Pfadvalidierung besteht in SAP Capital Yield Tax Management eine Directory-Traversal-Schwachstelle. Ein Angreifer mit nur eingeschränkten Rechten kann dadurch unter Umständen Dateien auslesen, die sich außerhalb seines eigentlichen Zugriffsbereichs befinden. Diese Sicherheitslücke gefährdet in erheblichem Maß die Vertraulichkeit der Daten, während Integrität und Verfügbarkeit unberührt bleiben.

9. Score 6.8   (Medium Priority)

Nummer: 3543274

[CVE-2025-26654] Potenzielle Schwachstelle bei Offenlegung von Informationen in SAP Commerce Cloud (Public Cloud)

In der Public-Cloud-Variante von SAP Commerce Cloud ist es nicht möglich, unverschlüsselten HTTP-Verkehr (Port 80) vollständig zu deaktivieren. Stattdessen wird eine automatische Weiterleitung von HTTP (Port 80) auf HTTPS (Port 443) vorgenommen, wodurch die Kommunikation in der Regel über eine sichere Verbindung erfolgt. Dennoch kann die Vertraulichkeit und Integrität sensibler Daten gefährdet sein – insbesondere dann, wenn der Client so konfiguriert ist, dass er initial über HTTP kommuniziert und bereits mit der ersten Anfrage vertrauliche Informationen überträgt, bevor die Umleitung greift.

10. Score 6.7   (Medium Priority)

Nummer: 3571093

[CVE-2025-30013] Code-Injection-Schwachstelle in SAP ERP BW Business Content

Bestimmte Funktionsbausteine in SAP ERP BW Business Content weisen eine Schwachstelle auf, die die Einschleusung von Betriebssystembefehlen (BS-Befehlen) ermöglicht. Werden diese Bausteine mit erweiterten Berechtigungen ausgeführt, erfolgt keine ausreichende Validierung der Benutzereingaben. Dadurch kann ein Angreifer durch lokalen Zugriff auf das Zielsystem beliebige OS-Befehle einschleusen. Dies kann zur Ausführung unerwünschter Kommandos im zugrunde liegenden System führen und stellt ein ernstzunehmendes Risiko für Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung dar.

11. Score 6.6   (Medium Priority)

Nummer: 3565751

[CVE-2025-31332] Schwachstelle mit Blick auf unsicheren Dateiberechtigungen in SAP-BusinessObjects-Business-Intelligence-Plattform

In der SAP BusinessObjects Business Intelligence Plattform können unsichere Dateiberechtigungen dazu führen, dass ein Angreifer mit lokalem Zugriff Systemdateien manipuliert. Solche Änderungen könnten zu Betriebsstörungen oder Ausfällen von Diensten führen, was erhebliche Auswirkungen auf die Integrität und Verfügbarkeit des Systems haben kann. Die Vertraulichkeit bleibt in diesem Fall jedoch gewahrt, da keine sensiblen Informationen offengelegt werden.

12. Score 5.3   (Medium Priority)

Nummer: 3568307

[CVE-2025-26657] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP KMC WPC

Durch eine einfache Parameterabfrage kann ein nicht authentifizierter Angreifer in SAP KMC WPC remote auf Benutzernamen zugreifen. Dies führt zur Offenlegung sensibler Informationen und stellt ein geringfügiges Risiko für die Vertraulichkeit der Anwendung dar. Die Integrität und Verfügbarkeit bleiben von dieser Schwachstelle unberührt.

13. Score 4.7   (Medium Priority)

Nummer: 3559307

[CVE-2025-26653] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP (Anwendungen auf der Basis von SAP GUI for HTML)

In SAP NetWeaver Application Server ABAP werden benutzergesteuerte Eingaben nicht ausreichend codiert, was eine Cross-Site-Scripting-Schwachstelle (XSS) zur Folge hat. Ein Angreifer kann dadurch, auch ohne spezielle Berechtigungen, schädlichen JavaScript-Code in eine Webseite einschleusen. Sobald ein Nutzer die manipulierte Seite aufruft, wird das Skript im Kontext des Benutzerbrowsers ausgeführt – was potenziell die Vertraulichkeit und Integrität der Sitzung beeinträchtigen kann. Die Verfügbarkeit des Systems bleibt davon unberührt.

14. Score 4.4   (Medium Priority)

Nummer: 3558864

[CVE-2025-30017] Fehlende Berechtigungsprüfung in SAP Solution Manager

SAP Solution Manager 7.1 weist eine fehlende Berechtigungsprüfung auf, die es einem authentifizierten Angreifer erlaubt, eine Datei als Vorlage in der Lösungsdokumentation hochzuladen. Wird diese Schwachstelle ausgenutzt, kann der Angreifer die Integrität und Verfügbarkeit der Anwendung in begrenztem Umfang beeinflussen.

15. Score 4.3   (Medium Priority)

Nummer: 3525971

[CVE-2025-31333] OData-Metadatenmanipulation in SAP-S4CORE-Entität

Die OData-Metadateneigenschaft in SAP S4CORE ist anfällig für Manipulation, wodurch ein externer Angreifer Änderungen an der Entitätsmenge vornehmen kann. Diese Schwachstelle beeinträchtigt in geringem Maße die Integrität der Anwendung. Vertraulichkeit und Verfügbarkeit bleiben dabei unangetastet.

16. Score 4.3   (Medium Priority)

Nummer: 3557131

[CVE-2025-23188] Fehlende Berechtigungsprüfung in SAP S/4HANA (RBD)

Durch das Ausnutzen einer fehlenden Berechtigungsprüfung in einem IBS-Modul von FS-RBD kann ein authentifizierter Benutzer mit geringen Berechtigungen unautorisierten Zugriff auf Aktionen erlangen, die über die vorgesehenen Berechtigungen hinausgehen. Diese Schwachstelle hat nur geringe Auswirkungen auf die Integrität der Anwendung, ohne jedoch die Vertraulichkeit oder Verfügbarkeit zu beeinträchtigen.

17. Score 4.3   (Medium Priority)

Nummer: 3568778

[CVE-2025-27437] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server ABAP (Virenprüfungsschnittstelle)

In der Virenprüfungsschnittstelle von SAP NetWeaver Application Server ABAP fehlt eine notwendige Berechtigungsprüfung. Dadurch ist es einem authentifizierten, jedoch nicht administrativen Benutzer möglich, eine bestimmte Transaktion zu starten. Infolge dessen kann er auf nicht sensible Daten zugreifen – ohne zusätzliche Berechtigungen und ohne die Verfügbarkeit des Systems zu beeinträchtigen. Eine Änderung der Daten ist jedoch nicht möglich.

18. Score 4.2   (Medium Priority)

Nummer: 3539465

[CVE-2025-27435] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

In SAP Commerce können unter bestimmten Umständen Coupon-Codes von Kunden über URL-Parameter innerhalb einer Kampagnen-URL ungeschützt offengelegt werden. Ein nicht authentifizierter Angreifer könnte auf diese Weise Zugang zu solchen Codes erhalten und sie missbräuchlich verwenden. Dies beeinträchtigt in geringem Maße sowohl die Vertraulichkeit als auch die Integrität der Anwendung.

19. Score 4.1   (Medium Priority)

Nummer: 3565944

[CVE-2025-30015] Speicherbeschädigungsschwachstelle in SAP NetWeaver und ABAP-Plattform (Application Server ABAP)

Eine fehlerhafte Behandlung von Speicheradressen in ABAP SQL innerhalb von SAP NetWeaver und der ABAP-Plattform (Application Server ABAP) ermöglicht es einem autorisierten Angreifer mit weitreichenden Rechten, bestimmte Arten von SQL-Abfragen durchzuführen. Dabei kann der Inhalt der Ausgabevariable manipuliert werden. Diese Schwachstelle hat eine geringe Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für März 2025:

1. Score 8.8  (High Priority)

Nummer: 3569602

[CVE-2025-27434] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Commerce (Swagger-UI)

Durch eine unzureichende Validierung der Eingaben besteht in SAP Commerce (Swagger-UI) die Möglichkeit für einen nicht authentifizierten Angreifer, schädlichen Code aus entfernten Quellen einzuschleusen. Dieser kann dann für einen Cross-Site-Scripting-Angriff (XSS) genutzt werden, was schwerwiegende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Daten innerhalb von SAP Commerce haben kann.

2. Score 8.8  (High Priority)

Nummer: 3563927

[CVE-2025-26661] Fehlende Berechtigungsprüfung in SAP NetWeaver (ABAP Class Builder)

In SAP NetWeaver (ABAP Class Builder) fehlt eine notwendige Berechtigungsprüfung, die es einem Angreifer ermöglicht, unrechtmäßig höhere Zugriffsebenen zu erlangen. Dies kann zu einer unautorisierten Erweiterung der Rechte führen. Sollte dieser Angriff erfolgreich sein, könnte er die Offenlegung sensibler Daten zur Folge haben und die Integrität sowie Verfügbarkeit der Anwendung erheblich beeinträchtigen.

3. Score 8.6   (High priority)

Nummer: 3566851

[CVE-2024-38286] Mehrere Schwachstellen in Apache Tomcat in SAP Commerce Cloud

Die verwendete Version von Apache Tomcat in SAP Commerce Cloud könnte anfällig für DOS-Angriffe (CVE-2024-38286) sowie für ungeprüfte Fehlerbedingungen (CVE-2024-52316) sein. Damit diese Schwachstellen ausgenutzt werden können, müssen jedoch zunächst die in den CVEs beschriebenen Voraussetzungen erfüllt sein.

4. Score 6.8   (Medium priority)

Nummer: 3567974

[CVE-2025-26658] Fehlerhafte Authentifizierung in SAP Business One (Serviceschicht)

In der Serviceschicht von SAP Business One besteht die Möglichkeit für Angreifer, unberechtigten Zugang zu erlangen und sich als andere Benutzer auszugeben, um unautorisierte Aktionen durchzuführen. Durch ein missbräuchliches Session-Management könnten Angreifer ihre Berechtigungen erhöhen und damit Daten lesen, ändern oder schreiben. Obwohl es viel Zeit und Mühe erfordert, Zugriff auf authentifizierte Sitzungen anderer Benutzer zu erlangen, hat diese Schwachstelle erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, während die Verfügbarkeit der Anwendung nicht betroffen ist.

5. Score 6.1   (Medium priority)

Nummer: 3552824

[CVE-2025-26659] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP (Anwendungen auf der Basis von SAP GUI for HTML)

In SAP NetWeaver Application Server ABAP werden benutzergenerierte Eingaben nicht ausreichend kodiert, was zu einer DOM-basierten Cross-Site-Scripting-Schwachstelle führt. Ein Angreifer kann so ohne Berechtigungen eine schadhafte Web-Nachricht erzeugen, die SAP-GUI-Funktionen ausnutzt. Bei erfolgreichem Angriff wird die schadhafte JavaScript-Payload im Browser des Opfers ausgeführt, wodurch möglicherweise ihre Daten gefährdet und/oder die Inhalte des Browsers verändert werden. Diese Schwachstelle hat nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität, während die Verfügbarkeit nicht beeinträchtigt wird.

6. Score 6.1   (Medium Priority)

Nummer: 3562390

[CVE-2025-25242] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP

Durch SAP NetWeaver Application Server ABAP kann die Ausführung schadhafter Skripte innerhalb der Anwendung ermöglicht werden, was zu einer möglichen Cross-Site-Scripting-Schwachstelle (XSS) führt. Obwohl diese Schwachstelle keine Auswirkungen auf die Verfügbarkeit der Anwendung hat, könnte sie geringfügige Auswirkungen auf die Vertraulichkeit und Integrität haben.

7. Score 5.7   (Medium Priority)

Nummer: 3552144

[CVE-2025-25244] Fehlende Berechtigungsprüfung in SAP Business Warehouse (Prozessketten)

In SAP Business Warehouse (Prozessketten) besteht aufgrund einer fehlenden Berechtigungsprüfung die Möglichkeit für einen Angreifer, die Ausführung von Prozessen zu manipulieren. Ein Angreifer, der über Anzeigeberechtigungen für das Prozesskettenobjekt verfügt, könnte einen oder alle Prozesse zum Überspringen festlegen. Dadurch werden Aktivitäten wie das Laden, Aktivieren oder Löschen von Daten möglicherweise nicht wie ursprünglich vorgesehen ausgeführt. Dies kann zu unerwarteten Ergebnissen im Geschäftsberichtswesen führen und die Integrität erheblich beeinträchtigen, ohne jedoch die Vertraulichkeit oder Verfügbarkeit zu beeinflussen.

8. Score 5.4   (Medium Priority)

Nummer: 3557469

[CVE-2025-25245] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-BusinessObjects-Business-Intelligence-Plattform (Web Intelligence)

In der SAP BusinessObjects Business Intelligence-Plattform (Web Intelligence) existiert ein veralteter Webanwendungsendpunkt, der nicht ausreichend abgesichert ist. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine schadhafte URL in die Daten einfügt, die dann an den Benutzer zurückgegeben werden. Sollte der Angriff erfolgreich sein, könnten im Browser des Opfers begrenzte Auswirkungen auf die Vertraulichkeit und Integrität auftreten, wobei die Verfügbarkeit nicht betroffen ist.

9. Score 5.4   (Medium Priority)

Nummer: 3567246

[CVE-2025-27431] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server Java

Die Benutzerverwaltungsfunktion im SAP NetWeaver Application Server Java weist eine Schwachstelle für Stored Cross-Site Scripting (XSS) auf. Ein Angreifer kann schadhafte Payload einschleusen, die gespeichert und bei einem späteren Zugriff des Benutzers auf die Funktion ausgeführt wird. Dies könnte zur Offenlegung von Informationen oder zu unautorisierten Änderungen von Daten im Browser des Opfers führen, wobei die Verfügbarkeit nicht betroffen ist.

10. Score 5.3   (Medium Priority)

Nummer: 3561792

[CVE-2025-23194] Fehlende Authentifizierungsprüfung in SAP NetWeaver Enterprise Portal (OBN-Komponente)

In SAP NetWeaver Enterprise Portal OBN wird bei einer bestimmten Konfigurationseinstellung keine angemessene Authentifizierungsprüfung durchgeführt. Dadurch kann ein nicht authentifizierter Benutzer diese auf einen unerwünschten Wert setzen, was zu geringfügigen Auswirkungen auf die Integrität führt. Die Vertraulichkeit und Verfügbarkeit der Anwendung bleiben jedoch unbeeinträchtigt.

 
 
 

11. Score 4.9   (Medium Priority)

Nummer: 3558132

[CVE-2025-0071] Schwachstelle bezüglich der Offenlegung von Informationen in SAP Web Dispatcher und Internet Communication Manager

Durch SAP Web Dispatcher und Internet Communication Manager kann ein Angreifer mit Administratorrechten den Debugging-Trace-Modus aktivieren, indem er einen bestimmten Parameterwert verwendet. Dies führt dazu, dass unverschlüsselte Passwörter in den Protokollen offengelegt werden, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat. Die Integrität und Verfügbarkeit bleiben jedoch unbeeinträchtigt.

12. Score 4.7   (Medium Priority)

Nummer: 3557459

 [CVE-2025-0062] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-BusinessObjects-Business-Intelligence-Plattform (Web Intelligence)

In der SAP BusinessObjects Business Intelligence-Plattform kann ein Angreifer JavaScript-Code in Web-Intelligence-Berichte einfügen. Dieser Code wird bei jedem Besuch der betroffenen Seite durch das Opfer im Browser ausgeführt. Wird die Schwachstelle erfolgreich ausgenutzt, kann der Angreifer begrenzte Auswirkungen auf die Vertraulichkeit und Integrität im Browser des Opfers haben. Die Verfügbarkeit bleibt jedoch unbeeinträchtigt. Diese Schwachstelle tritt nur auf, wenn die Ausführung von Skripten/HTML vom Administrator in der Central Management Console aktiviert wurde.

13. Score 4.3   (Medium Priority)

Nummer: 3474392

[CVE-2025-26656] Fehlende Berechtigungsprüfung in SAP S/4HANA („Einkaufsinfosätze verwalten“)

Im OData-Service von „Einkaufsinfosätze verwalten“ fehlen die erforderlichen Berechtigungsprüfungen für authentifizierte Benutzer, wodurch ein Angreifer seine Berechtigungen eskalieren kann. Dies führt zu geringen Auswirkungen auf die Integrität der Anwendung.

14. Score 4.3   (Medium Priority)

Nummer: 3565835

[CVE-2025-27433] Schwachstellen bezüglich fehlerhafter Zugriffskontrolle in SAP S/4HANA („Kontoauszüge verwalten“)

Dieser SAP-Sicherheitshinweis befasst sich mit zwei Schwachstellen in SAP S/4HANA. Detaillierte Informationen zu den Schwachstellen sowie die zugehörigen CVE- und CVSS-Daten sind weiter unten aufgeführt.

[CVE-2025-27433] – In der App „Kontoauszüge verwalten“ in SAP S/4HANA kann ein authentifizierter Angreifer bestimmte Funktionseinschränkungen der Anwendung umgehen und Dateien in einen bereits stornierten Kontoauszug hochladen. Diese Schwachstelle hat geringe Auswirkungen auf die Integrität der Anwendung, jedoch keine Auswirkungen auf deren Vertraulichkeit oder Verfügbarkeit.

CVSS: 4.3; CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

[CVE-2025-27436] – In der App „Kontoauszüge verwalten“ in SAP S/4HANA fehlen die erforderlichen Zugriffskontrollprüfungen für authentifizierte Benutzer, um zu verifizieren, ob eine Anfrage zur Interaktion mit einer Ressource legitim ist. Dies ermöglicht es einem Angreifer, einen gebuchten Kontoauszug zu löschen. Die Auswirkungen auf die Integrität sind gering, während die Vertraulichkeit der Daten und die Verfügbarkeit der Anwendung nicht betroffen sind.

CVSS: 4.3; CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

15. Score 4.3   (Medium Priority)

Nummer: 3557655

[CVE-2025-26660] Fehlerhafte Zugriffskontrolle in SAP-Fiori-Apps (Buchungsbibliothek)

SAP-Fiori-Anwendungen, die die Buchungsbibliothek nutzen, konfigurieren die Sicherheitseinstellungen während des Setup-Prozesses möglicherweise nicht korrekt, sodass diese entweder auf den Standardwerten verbleiben oder unzureichend definiert sind. Diese Schwachstelle erlaubt es einem Angreifer mit begrenzten Berechtigungen, Zugriffskontrollen innerhalb der Anwendung zu umgehen, was ihm potenziell die Möglichkeit gibt, Daten zu verändern. Die Vertraulichkeit und Verfügbarkeit bleiben dabei unbeeinträchtigt.

16. Score 4.3   (Medium Priority)

Nummer: 3557131

[CVE-2025-23188] Fehlende Berechtigungsprüfung in SAP S/4HANA (RBD)

Durch das Ausnutzen einer fehlenden Berechtigungsprüfung in einem IBS-Modul von FS-RBD kann ein authentifizierter Benutzer mit geringen Berechtigungen unautorisierten Zugriff auf Aktionen erlangen, die über die vorgesehenen Berechtigungen hinausgehen. Diese Schwachstelle hat nur geringe Auswirkungen auf die Integrität der Anwendung, ohne jedoch die Vertraulichkeit oder Verfügbarkeit zu beeinträchtigen.

17. Score 4.1   (Medium Priority)

Nummer: 3549494

[CVE-2025-23185] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform

Eine falsche Fehlerbehandlung in der SAP BusinessObjects Business Intelligence-Plattform führt dazu, dass technische Details der Anwendung in Ausnahmen und Stack-Traces angezeigt werden, die an den Benutzer ausgegeben werden. Diese Informationen sind nur für einen Angreifer mit Administratorberechtigungen zugänglich, der sie für weitere Exploits nutzen könnte. Die Integrität und Verfügbarkeit der Anwendung bleiben jedoch unbeeinträchtigt.

18. Score 3.7   (Low Priority)

Nummer: 3562415

[CVE-2025-23185] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform

Durch eine fehlerhafte Fehlerbehandlung in der SAP BusinessObjects Business Intelligence-Plattform werden technische Details der Anwendung in Ausnahmen und Stack-Traces offengelegt, die an den Benutzer ausgegeben werden. Nur ein Angreifer mit Administratorberechtigungen kann auf diese Informationen zugreifen und sie für weitere Exploits ausnutzen. Es gibt jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

19. Score 3.5   (Low Priority)

Nummer: 3561861

[CVE-2025-27430] Server-side Request Forgery (SSRF) in SAP CRM und SAP S/4HANA (Interaction Center)

Eine SSRF-Schwachstelle in SAP CRM und SAP S/4HANA (Interaction Center) kann unter bestimmten Bedingungen einem Angreifer mit minimalen Berechtigungen den Zugriff auf vertrauliche Informationen ermöglichen. Diese Schwachstelle erlaubt es dem Angreifer, Anfragen an interne Netzwerkressourcen zu senden, was die Vertraulichkeit der Anwendung gefährdet. Es ist jedoch wichtig zu betonen, dass die Integrität und Verfügbarkeit nicht betroffen sind.

20. Score 2.4   (Low Priority)

Nummer: 3568865

[CVE-2025-27432] Fehlende Berechtigungsprüfung in SAP Electronic Invoicing for Brazil (eDocument Cockpit)

Im eDocument Cockpit (Eingangs-NF-e) von SAP Electronic Invoicing for Brazil besteht die Möglichkeit, dass ein authentifizierter Angreifer mit bestimmten Berechtigungen unberechtigten Zugriff auf sämtliche Transaktionen erhält. Durch die Ausführung einer spezifischen ABAP-Methode im ABAP-System kann ein nicht autorisierter Angreifer jede Transaktion aufrufen und die Anlieferungsdetails einsehen. Diese Schwachstelle hat zwar geringe Auswirkungen auf die Vertraulichkeit, jedoch keine auf die Integrität und Verfügbarkeit der Anwendung.

21. Score 0.0   (Low Priority)

Nummer: 3576540

Open Source Security Advisory: Best Practices for Securing Spring Boot Actuator Endpoints for applications running on BTP

Java-Anwendungen, die mit dem Spring Framework entwickelt wurden, laufen typischerweise in BTP-Cloud-Foundry- und KYMA-Umgebungen, gelegentlich auch in der NEO-Umgebung. Der Spring Boot Actuator bietet Entwicklern eine hervorragende Möglichkeit, ihre Spring Boot-Anwendungen zu debuggen und Telemetriedaten zu sammeln. Er stellt eine Vielzahl von URL-Endpunkten zur Verfügung, die wertvolle Einblicke in die laufende Anwendung gewähren. Während diese Funktionen für Debugging und Überwachung, auch in Produktionsumgebungen, von Nutzen sind, können sie ein Sicherheitsrisiko darstellen, wenn sie ohne angemessene Authentifizierung und Berechtigung zugänglich sind.

Unzureichend gesicherte oder öffentlich exponierte Endpunkte des Spring Boot Actuators können zu ernsthaften Sicherheitsrisiken führen, darunter unberechtigter Zugriff auf sensible Anwendungsdaten wie Umgebungsvariablen, Speicher-Dumps und interne Routing-Informationen. Angreifer könnten diese Fehlkonfigurationen ausnutzen, um Einblicke in die Laufzeit- und Gesundheitsinformationen der Anwendung zu erhalten, was zu Datenlecks oder sogar Systemkompromissen führen kann. Daher ist es entscheidend, diese Endpunkte angemessen zu sichern, um Sicherheitsanfälligkeiten wie Remote-Code-Ausführung (RCE) oder Datendiebstahl zu vermeiden.

Beispielendpunkte, die sensible Daten exponieren könnten, finden Sie hier: https://me.sap.com/notes/3576540

Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Februar 2025:

1. Score 8.8  (High Priority)

Nummer: 3417627

[CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)

Durch unzureichende Validierung und fehlerhafte Kodierung der eingehenden URL-Parameter in der Benutzerverwaltungsanwendung von SAP NetWeaver AS for Java entstehen Sicherheitslücken. Diese Fehler führen zu einer Cross-Site-Scripting-Schwachstelle (XSS), die hauptsächlich die Vertraulichkeit gefährdet, aber auch geringe Auswirkungen auf die Integrität und Verfügbarkeit hat.

2. Score 8.7  (High Priority)

Nummer: 3525794

[CVE-2025-0064] Falsche Berechtigung in der SAP-BusinessObjects-Business-Intelligence-Plattform (Central Management Console)

Bei bestimmten Voraussetzungen bietet die Central Management Console der SAP-BusinessObjects-Business-Intelligence-Plattform einem Angreifer mit Administratorrechten die Möglichkeit, eine geheime Passphrase zu erstellen oder abzurufen. Dadurch kann er sich als legitimer Benutzer im System ausgeben. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit und Integrität, jedoch keine auf die Verfügbarkeit.

3. Score 8.6   (High priority)

Nummer: 3567551

[CVE-2025-25243] Pfad-Traversal-Schwachstelle in SAP Supplier Relationship Management (Stammdatenmanagement-Katalog)

Ein nicht authentifizierter Angreifer kann mit SAP Supplier Relationship Management (Stammdatenmanagement-Katalog) ein öffentlich zugängliches Servlet ausnutzen, um eine beliebige Datei über das Netzwerk herunterzuladen – ganz ohne Interaktion des Benutzers. Auf diese Weise können vertrauliche Daten preisgegeben werden, ohne die Integrität oder Verfügbarkeit zu beeinträchtigen.

4. Score 8.1   (High priority)

Nummer: 3567974

[CVE-2025-24876] Authentifizierungsumgehung über Berechtigungscode-Injection in SAP Approuter

Ältere Versionen von SAP Approuter vor der Version 16.7.2 sind anfällig für eine Authentifizierungsumgehung aufgrund einer Berechtigungscode-Injection, die in der CVE-2025-24876 beschrieben wird.

5. Score 7.5   (High priority)

Nummer: 3567172

[CVE-2024-38819] Mehrere Schwachstellen in SAP Enterprise Project Connection

Die verwendeten Versionen der Spring-Framework-Open-Source-Bibliotheken in SAP Enterprise Project Connection könnten Sicherheitslücken aufweisen, die in der Rubrik „Weitere Begriffe“ dieses SAP-Sicherheitshinweises mit den entsprechenden CVEs aufgeführt sind.

6. Score 7.1   (High Priority)

Nummer: 3563929

[CVE-2025-24868] Open-Redirect-Schwachstelle in den erweiterten Anwendungsservices von SAP HANA, erweitertes Modell(User Account and Authentication Services)

Der User Account and Authentication Service (UAA) für SAP HANA mit dem erweiterten Modell (SAP HANA XS Advanced Model) bietet einem nicht authentifizierten Angreifer die Möglichkeit, einen schädlichen Link zu erstellen. Klickt ein Opfer auf diesen Link, wird der Browser aufgrund unzureichender Validierung der Umleitungs-URL auf eine gefährliche Seite umgeleitet. Wenn der Angriff erfolgreich ist, kann er eingeschränkte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems verursachen.

7. Score 6.8   (Medium Priority)

Nummer: 3555364

[CVE-2025-24875] Tiefgreifende Verteidigung via SameSite für einige Cookies in SAP Commerce nicht angewendet

In SAP Commerce werden bestimmte Cookies gesetzt, wobei das SameSite-Attribut standardmäßig auf den Wert „None“ (SameSite=None) konfiguriert ist. Dies betrifft auch die Authentifizierungs-Cookies, die im SAP Commerce Backoffice verwendet werden. Diese Einstellung schwächt die Schutzmechanismen gegen CSRF-Angriffe und könnte zukünftig zu Kompatibilitätsproblemen führen.

8. Score 6.0   (Medium Priority)

Nummer: 3559510

[CVE-2025-24874] Fehlende tiefgreifende Verteidigung gegen Clickjacking in SAP Commerce (Backoffice)

SAP Commerce (Backoffice) setzt den veralteten X-FRAME-OPTIONS-Header ein, um sich vor Clickjacking-Angriffen zu schützen. Obwohl dieser Schutz aktuell noch funktioniert, könnte er in Zukunft obsolet werden, da Browser die Unterstützung für diesen Header zugunsten der CSP-Direktive „frame-ancestors“ einstellen könnten. Dies würde Clickjacking-Angriffe ermöglichen und zur Offenlegung sowie Veränderung sensibler Informationen führen.

9. Score 6.1   (Medium Priority)

Nummer: 3445708

[CVE-2025-24867] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-BusinessObjects-Business-Intelligence-Plattform (BI-Launchpad)

In der SAP-BusinessObjects-Business-Intelligence-Plattform (BI Launchpad) erfolgt die Verarbeitung benutzergenerierter Eingaben nicht ausreichend, was eine Cross-Site-Scripting-Sicherheitslücke (XSS) zur Folge hat. Ein nicht authentifizierter Angreifer kann eine URL erstellen, die ein schädliches Skript in einen ungeschützten Parameter einschleust. Klickt ein Opfer auf den Link, wird das Skript im Browser ausgeführt, wodurch der Angreifer auf Web-Client-Daten zugreifen und/oder diese verändern kann, ohne dass die Verfügbarkeit beeinträchtigt wird.

10. Score 6.1   (Medium Priority)

Nummer: 3557138

Aktualisierung 1 zu Sicherheitshinweis 3417627 – [CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)

Dieser SAP-Sicherheitshinweis stellt eine Aktualisierung des Sicherheitshinweises 3417627 dar. Die in diesem früheren Sicherheitshinweis bereitgestellte Korrektur ist mittlerweile ungültig.

  • Kunden sollten diesen neuen Sicherheitshinweis umgehend einspielen, um die vollständige Korrektur zu erhalten. Kunden, die bereits den Sicherheitshinweis 3417627 angewendet haben, müssen ebenfalls diesen neuen Sicherheitshinweis installieren, um die vollständige Behebung des Problems zu gewährleisten.
  • Die UserAdmin-Anwendung in SAP NetWeaver AS for Java (SAP NW AS Java) überprüft die eingehenden URL-Parameter nicht ausreichend. Dies ermöglicht es einem nicht authentifizierten Angreifer, schadhafte Links zu erstellen, die gefährliche Skripte enthalten. Wird ein solcher Link von einem Opfer angeklickt, wird das Skript im Browser des Opfers ausgeführt, was zu unberechtigtem Zugriff auf oder Änderungen an vertraulichen Informationen führen kann.

11. Score 6.0   (Medium Priority)

Nummer: 3562336

[CVE-2025-24870] Unsichere Schwachstelle in Bezug auf Schlüssel und Secret-Verwaltung in SAP GUI for Windows

Die Anmeldeinformationen für SAP GUI for Windows und den RFC-Service werden irrtümlich im Speicher des Programms abgelegt. Ein Angreifer mit entsprechenden Berechtigungen auf der Client-Seite könnte dadurch auf Informationen im Application Server ABAP zugreifen. Im Backend-System sind keine Benutzeranmeldungen erforderlich. Bei erfolgreicher Ausnutzung könnte dies zur Offenlegung hochsensibler Daten führen, ohne die Integrität oder Verfügbarkeit zu beeinträchtigen.

12. Score 5.5   (Medium Priority)

Nummer: 3540273

[CVE-2024-45216] Mehrere Schwachstellen in Apache Solr in SAP Commerce Cloud

SAP Commerce Cloud nutzt eine verwundbare Version von Apache Solr, die es einem Angreifer ermöglicht, auf die Datenbank zuzugreifen, sofern bestimmte Voraussetzungen erfüllt sind. Dies könnte geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit zur Folge haben.

13. Score 5.4   (Medium Priority)

Nummer: 3526203

[CVE-2025-0054] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server Java

SAP NetWeaver Application Server Java verarbeitet Benutzereingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Sicherheitslücke führt. Angreifern mit grundlegenden Berechtigungen wird ermöglicht, eine JavaScript-Payload auf dem Server abzulegen, die später im Webbrowser des Opfers ausgeführt wird. Dies könnte es dem Angreifer erlauben, Informationen im Zusammenhang mit der anfälligen Webseite zu lesen oder zu verändern.

14. Score 5.4   (Medium Priority)

Nummer: 3532025

[CVE-2025-25241] Fehlende Berechtigungsprüfung in Referenzbibliothek für SAP-Fiori-Apps („Meine Mehrarbeitsanträge“)

Ein in der Anwendung authentifizierter Angreifer kann aufgrund einer fehlenden Berechtigungsprüfung auf „Meine Mehrarbeitsanträge“ zugreifen und diese löschen. Dadurch erhält der Angreifer möglicherweise Zugriff auf Mitarbeiterinformationen. Dies hat geringe Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, jedoch keine auf die Verfügbarkeit.

15. Score 5.3   (Medium Priority)

Nummer: 3546470

[CVE-2025-23187] Fehlende Berechtigungsprüfung in SAP NetWeaver und ABAP-Plattform (SDCCN)

Dieser Sicherheitshinweis behandelt zwei Schwachstellen aufgrund fehlender Berechtigungsprüfungen in SDCCN. Die Details zu den Schwachstellen sowie die entsprechenden CVE- und CVSS-Informationen sind im Folgenden aufgeführt.

CVE-2025-23187: Wegen einer fehlenden Berechtigungsprüfung in einem RFC-fähigen Funktionsbaustein der Transaktion SDCCN kann ein nicht authentifizierter Angreifer technische Metadaten erzeugen. Dies hat nur geringe Auswirkungen auf die Integrität, jedoch keine auf die Vertraulichkeit oder Verfügbarkeit.
CVSS: 5.3; CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

CVE-2025-23189: Durch eine fehlende Berechtigungsprüfung in einem RFC-fähigen Funktionsbaustein der Transaktion SDCCN kann ein authentifizierter Angreifer technische Metadaten erstellen. Auch hier sind die Auswirkungen auf die Integrität gering, während es keine Auswirkungen auf Vertraulichkeit oder Verfügbarkeit gibt.
CVSS: 4.3; CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

16. Score 5.3   (Medium Priority)

Nummer: 3561264

[CVE-2025-23193] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP

SAP NetWeaver Server ABAP lässt es einem nicht authentifizierten Angreifer zu, eine Schwachstelle auszunutzen, bei der der Server je nach Vorhandensein eines bestimmten Benutzers unterschiedlich reagiert. Dies könnte dazu führen, dass sensible Informationen offengelegt werden. Das Problem führt jedoch zu keiner Änderung der Daten und beeinträchtigt nicht die Verfügbarkeit des Servers.

17. Score 5.3   (Medium Priority)

Nummer: 3287784

[CVE-2023-24527] Falsche Zugriffskontrolle in SAP NetWeaver AS Java für Deploy Service

Durch das Fehlen von Berechtigungsprüfungen für benutzerbezogene Funktionen im Deploy Service von SAP NetWeaver Application Server Java kann ein nicht authentifizierter Angreifer eine offene Schnittstelle nutzen und über eine ungeschützte Namens- und Verzeichnis-API auf einen Service zugreifen. Dies ermöglicht den Zugriff auf Servereinstellungen und Daten, wobei jedoch keine Auswirkungen auf die Verfügbarkeit oder Integrität entstehen und keine Änderungen vorgenommen werden können.

18. Score 4.3   (Medium Priority)

Nummer: 3553753 

[CVE-2025-24872] Fehlende Berechtigungsprüfung in der SAP-ABAP-Plattform (ABAP Build Framework)

Im ABAP Build Framework von SAP-ABAP besteht die Möglichkeit für einen authentifizierten Angreifer, unbefugten Zugriff auf eine bestimmte Transaktion zu erlangen. Durch die Nutzung der Add-On-Build-Funktion im ABAP Build Framework kann der Angreifer die Transaktion aufrufen und die zugehörigen Details einsehen. Dies hat nur begrenzte Auswirkungen auf die Vertraulichkeit der Anwendung, ohne die Integrität oder Verfügbarkeit der Anwendung zu beeinträchtigen.

19. Score 4.3   (Medium Priority)

Nummer: 3550027

[CVE-2025-24869] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server Java

SAP NetWeaver Application Server Java erlaubt es einem Angreifer, auf einen Endpunkt zuzugreifen, der Informationen über bereitgestellte Serverkomponenten, einschließlich ihrer XML-Definitionen, preisgeben kann. Diese Informationen sollten eigentlich nur für Kundenadministratoren zugänglich sein, auch wenn sie möglicherweise nicht zwingend benötigt werden. Da die XML-Dateien mit dem Server bereitgestellt werden, sind sie nicht vollständig intern in SAP, was in diesem Fall zur Offenlegung sensibler Daten führen kann, ohne die Integrität oder Verfügbarkeit zu gefährden.

20. Score 4.3   (Medium Priority)

Nummer: 3547581

[CVE-2025-23190] Fehlende Berechtigungsprüfung in SAP NetWeaver und ABAP-Plattform (ST-PI)

Wegen einer fehlenden Berechtigungsprüfung kann ein authentifizierter Angreifer einen remotefähigen Funktionsbaustein aufrufen, um auf Daten zuzugreifen, auf die er normalerweise keinen Zugriff hätte. Der Angreifer kann jedoch weder Daten verändern noch die Verfügbarkeit des Systems beeinträchtigen.

21. Score 3.1   (Low Priority)

Nummer: 3426825

[CVE-2025-23191] Cache Poisoning durch Header-Manipulationsschwachstelle in SAP Fiori für SAP ERP

Werte, die im Cache für den SAP-OData-Endpunkt in SAP Fiori für SAP ERP gespeichert sind, können manipuliert werden, indem der Host-Header-Wert in einer HTTP-GET-Anfrage verändert wird. Ein Angreifer könnte dadurch die Werte in den zurückgegebenen Metadaten ändern und sie auf einen schädlichen Link umleiten, den er selbst festgelegt hat. Wird diese Schwachstelle erfolgreich ausgenutzt, kann dies geringe Auswirkungen auf die Integrität der Anwendung haben.

Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Januar 2025:

1. Score 9.9  (Hot News)

Nummer: 3537476

[CVE-2025-0070] Falsche Authentifizierung in SAP NetWeaver ABAP Server und ABAP-Plattform

Mit dem SAP NetWeaver Application Server für ABAP und der ABAP-Plattform besteht für einen authentifizierten Angreifer die Möglichkeit, unbefugten Zugriff auf das System zu erhalten, indem er Schwächen in der Authentifizierungsprüfung ausnutzt. Dies kann zu einer Eskalation der Berechtigungen führen und im Erfolgsfall Sicherheitsrisiken hervorrufen. Solche Vorfälle könnten erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben.

2. Score 9.9  (Hot News)

Nummer: 3550708

[CVE-2025-0066] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver AS für ABAP und ABAP-Plattform (Internet Communication Framework)

Unter bestimmten Umständen kann SAP NetWeaver AS für ABAP und die ABAP-Plattform (Internet Communication Framework) einem Angreifer aufgrund unzureichender Zugriffskontrollen den Zugang zu vertraulichen Informationen ermöglichen. Dies könnte gravierende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit einer Anwendung haben.

3. Score 8.8   (High priority)

Nummer: 3550816

[CVE-2025-0063] SQL-Injection-Schwachstelle in SAP NetWeaver AS für ABAP und ABAP-Plattform

Wenn ein Benutzer bestimmte RFC-Funktionsbausteine aufruft, wird von SAP NetWeaver AS ABAP und der ABAP-Plattform keine Berechtigungsprüfung durchgeführt. Dies eröffnet einem Angreifer mit einfachen Benutzerrechten die Möglichkeit, Zugriff auf die Daten in der Informix-Datenbank zu erlangen, was die Vertraulichkeit, Integrität und Verfügbarkeit der Daten vollständig gefährden kann.

4. Score 8.7   (High priority)

Nummer: 3469791

[CVE-2025-0061] Mehrere Schwachstellen in SAP-BusinessObjects-Business-Intelligence-Plattform

Dieser Sicherheitshinweis von SAP beschreibt zwei Schwachstellen, die in der BusinessObjects-Business-Intelligence-Plattform erkannt wurden. Im Folgenden werden die Details zu den Schwachstellen sowie die entsprechenden CVE- und CVSS-Bewertungen erläutert:

  • Informationsoffenlegung (CVE-2025-0061): Aufgrund einer Sicherheitslücke in der Plattform kann ein nicht authentifizierter Angreifer über das Netzwerk ein Session-Hijacking durchführen, ohne dass eine Benutzerinteraktion erforderlich ist. Dadurch erhält der Angreifer Zugriff auf Benutzerdaten innerhalb der Anwendung und hat die Möglichkeit, diese zu verändern.

    CVSS-Wertung: 8.7; CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
  • Code Injection (CVE-2025-0060): Ein Benutzer mit eingeschränkten Rechten hat die Möglichkeit, schädlichen JavaScript-Code in das System einzuschleusen. Dieser Code kann vertrauliche Informationen vom Server auslesen und an den Angreifer weiterleiten. Darüber hinaus kann der Angreifer diese Informationen nutzen, um sich als ein Benutzer mit erweiterten Berechtigungen auszugeben, was gravierende Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben kann.

    CVSS-Wertung: 6.5; CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

5. Score 7.8   (High priority)

Nummer: 3542533

[CVE-2025-0069] DLL-Hijacking-Schwachstelle in SAPSetup

Eine Schwachstelle im SAPSetup ermöglicht es einem Angreifer, mithilfe von DLL-Injection erweiterte Zugriffsrechte zu erlangen. Ein lokaler Benutzer oder jemand mit Zugang zu einem kompromittierten Windows-Konto eines Unternehmens kann diese Sicherheitslücke ausnutzen, um sich im Netzwerk lateral zu bewegen und das Active Directory weiter anzugreifen. Dies stellt ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Windows-Servers dar.

6. Score 6.5   (Mediumpriority)

Nummer: 3542698

[CVE-2025-0058] Schwachstelle bezüglich der Offenlegung von Informationen in SAP Business Workflow und SAP Flexible Workflow

Ein authentifizierter Angreifer kann in SAP Business Workflow und SAP Flexible Workflow einen Parameter in einer legitimen Ressourcenanfrage manipulieren. Dadurch erhält er Zugriff auf vertrauliche Informationen, die normalerweise nur eingeschränkt einsehbar sein sollten. Der Angreifer hat jedoch keine Möglichkeit, die angezeigten Daten zu verändern oder ihren Zugriff einzuschränken.

7. Score 6.3   (Medium priority)

Nummer: 3540108

[CVE-2025-0067] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server Java

Eine fehlende Berechtigungsprüfung für bestimmte Service-Endpunkte im SAP NetWeaver Application Server Java ermöglicht es einem Angreifer mit Standardbenutzerrechten, JCo-Verbindungseinträge zu erstellen. Diese Einträge können sowohl für eingehende als auch ausgehende Remote Function Calls des Anwendungsservers genutzt werden. Obwohl diese Schwachstelle nur geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat, stellt sie dennoch ein potenzielles Sicherheitsrisiko dar.

8. Score 6.0   (Medium priority)

Nummer: 3502459 

[CVE-2025-0056] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP GUI for Java

Die SAP GUI für Java speichert Benutzerdaten auf dem Client-Computer, um die Nutzungserfahrung zu verbessern. Wenn ein Angreifer Administratorrechte besitzt oder Zugang zum Benutzerverzeichnis auf Betriebssystemebene hat, kann er diese Informationen einsehen. Je nachdem, welche Daten der Benutzer in den Transaktionen eingibt, können die offengelegten Informationen von unkritischen bis hin zu hochsensiblen Daten reichen, was die Vertraulichkeit der Anwendung erheblich gefährden kann.

9. Score 6.0   (Medium priority)

Nummer: 3472837

[CVE-2025-0055] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP GUI for Windows

Die SAP GUI für Windows speichert Eingaben der Nutzer auf dem Client, um die Nutzung zu erleichtern. Unter besonderen Bedingungen könnte ein Angreifer, der über Administratorrechte oder Zugriff auf das Benutzerverzeichnis auf Betriebssystemebene verfügt, in der Lage sein, diese Daten auszulesen. Abhängig von den eingegebenen Informationen in Transaktionen könnten dabei Daten aufgedeckt werden, die von unkritisch bis hin zu hochsensibel reichen, was die Vertraulichkeit der Anwendung erheblich gefährdet.

10. Score 6.0   (Medium priority)

Nummer: 3503138

[CVE-2025-0059] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server ABAP (Anwendungen, die auf SAP GUI for HTML basieren)

Anwendungen, die auf der SAP GUI for HTML im SAP NetWeaver Application Server ABAP basieren, speichern Eingaben der Nutzer im lokalen Browser-Speicher, um die Bedienung zu erleichtern. Ein Angreifer, der über Administratorrechte verfügt oder Zugang zum Benutzerverzeichnis auf Betriebssystemebene hat, kann diese Daten einsehen. Je nach den eingegebenen Informationen in den Transaktionen können die offengelegten Daten von wenig kritischen bis hin zu hochsensiblen Informationen reichen, was erhebliche Risiken für die Vertraulichkeit der Anwendung darstellt.

11. Score 5.3   (Medium priority)

Nummer: 3536461

[CVE-2025-0053] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform bieten einem Angreifer die Möglichkeit, unbefugt auf Systeminformationen zuzugreifen. Durch Manipulation eines spezifischen URL-Parameters kann ein nicht authentifizierter Angreifer Informationen wie die Systemkonfiguration einsehen. Dies stellt nur eine geringe Bedrohung für die Vertraulichkeit der Anwendung dar, könnte jedoch als Grundlage für weitergehende Angriffe oder Exploits dienen.

12. Score 4.8   (Medium priority)

Nummer: 3514421

[CVE-2025-0057] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS JAVA (Benutzerverwaltungsanwendung)

Die SAP NetWeaver AS JAVA (User Admin Application) weist eine Schwachstelle in Form von Stored Cross-Site-Scripting (XSS) auf. Ein Angreifer, der sich als Administrator ausgibt, könnte ein Bild mit schädlichem JavaScript-Code hochladen. Wenn ein Opfer die betroffene Komponente aufruft, wäre der Angreifer in der Lage, Daten im Webbrowser des Opfers zu lesen und zu manipulieren.

13. Score 4.3   (Medium priority)

Nummer: 3550674

[CVE-2025-0068] Fehlende Berechtigungsprüfung in Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

Eine nicht mehr aktualisierte Funktion im SAP NetWeaver Application Server ABAP führt keine angemessenen Berechtigungsprüfungen durch. Dadurch könnte ein authentifizierter Angreifer auf Informationen zugreifen, die normalerweise nicht zugänglich wären. Diese Lücke hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Dezember 2024:

1. Score 9.1  (Hot News)

Nummer: 3520281

[CVE-2024-47578] Mehrere Schwachstellen in SAP NetWeaver AS für JAVA (Adobe Document Services)

Dieser Sicherheitshinweis bezieht sich auf mehrere Schwachstellen in den Adobe Document Services von SAP NetWeaver AS für JAVA. Nachfolgend sind die Details der Sicherheitslücken sowie die zugehörigen CVE- und CVSS-Informationen aufgeführt:

CVE-2024-47578
Die Adobe Document Services weisen eine Schwachstelle auf, bei der ein Angreifer mit Administratorrechten speziell gestaltete Anfragen über eine anfällige Webanwendung senden kann. Dies kann für Angriffe auf interne Systeme genutzt werden, die durch Firewalls geschützt sind und normalerweise nicht aus externen Netzwerken erreichbar sind. Die Schwachstelle ermöglicht serverseitige Request-Forgery-Angriffe. Ein erfolgreicher Angriff erlaubt es dem Angreifer, Dateien zu lesen, zu modifizieren oder das gesamte System lahmzulegen.

  • CVSS-Wert: 9.1
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVE-2024-47579
Ein authentifizierter Angreifer mit Administratorrechten kann über einen bereitgestellten Web-Service PDF-Schriftartdateien hoch- oder herunterladen. Durch Nutzung der Upload-Funktion, die eine interne Datei in eine Schriftartdatei umwandelt, und anschließendes Herunterladen dieser Datei kann der Angreifer jede Datei auf dem Server auslesen, ohne dabei die Integrität oder Verfügbarkeit des Systems zu beeinträchtigen.

  • CVSS-Wert: 6.8
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

CVE-2024-47580
Ein authentifizierter Administrator kann eine Schwachstelle in einem freigelegten Web-Service ausnutzen, um PDF-Dateien mit eingebetteten Anhängen zu erstellen. Indem er dabei interne Serverdateien einbindet und die generierten PDFs herunterlädt, kann er beliebige Dateien auf dem Server auslesen, ohne die Integrität oder Verfügbarkeit des Systems zu beeinträchtigen.

  • CVSS-Wert: 6.8
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

2. Score 8.8   (High priority)

Nummer: 3520281

[CVE-2024-47590] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Web Dispatcher

Ein nicht authentifizierter Angreifer kann einen manipulierten Link erstellen und öffentlich zugänglich machen. Klickt ein authentifizierter Nutzer auf diesen Link, werden die übermittelten Eingabedaten von der Webseite verarbeitet, um Inhalte zu generieren. Dies ermöglicht dem Angreifer entweder die Ausführung von Code im Browser des Nutzers (XXS) oder die Übermittlung von Daten an einen anderen Server (SSRF). Auf diese Weise kann der Angreifer beliebigen Code auf dem Server ausführen und die Vertraulichkeit, Integrität sowie Verfügbarkeit des Systems vollständig kompromittieren.

Änderungsprotokoll:

  • v12 (Aktuelle Version)Update vom 10. Dezember 2024: Der SAP-Hinweis wurde überarbeitet, insbesondere im Abschnitt „Ursache und Voraussetzungen“, und erneut veröffentlicht. Es sind keine kundenseitigen Maßnahmen erforderlich.
  • v9 (Initialversion)

3. Score 8.5   (High priority)

Nummer: 3469791

[CVE-2024-54198] Schwachstelle mit Blick auf Offenlegung von Informationen über Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

SAP NetWeaver Application Server ABAP kann unter bestimmten Bedingungen einem authentifizierten Angreifer ermöglichen, Anfragen für Remote-Function-Calls (RFC) an eingeschränkte Ziele zu senden. Dabei werden Anmeldeinformationen für einen Remote-Service bereitgestellt, die der Angreifer missbrauchen könnte. Dadurch besteht das Risiko, den Remote-Service vollständig zu gefährden, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben könnte.

4. Score 7.5   (High priority)

Nummer: 3504390

[CVE-2024-47586] NULL-Pointer-Dereferenz-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Ein nicht authentifizierter Angreifer hat die Möglichkeit, auf SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einen speziell präparierten HTTP-Request zu senden. Dieser kann eine NullPointer-Dereferenz im Kernel auslösen, wodurch das System abstürzt und einen Neustart durchführt. Dies führt zu einer vorübergehenden Nichtverfügbarkeit des Systems. Wird die Anfrage wiederholt gesendet, kann die Anwendung dauerhaft außer Betrieb gesetzt werden. Die Vertraulichkeit und Integrität bleiben dabei unbeeinträchtigt.

5. Score 7.2   (High priority)

Nummer: 3542543

[CVE-2024-54197] Serverseitige Request Forgery in SAP NetWeaver Administrator (Systemübersicht)

Der SAP NetWeaver Administrator (Systemübersicht) erlaubt es einem authentifizierten Angreifer, durch gezielt erstellte HTTP-Requests zugängliche HTTP-Endpunkte im internen Netzwerk aufzulisten. Bei erfolgreicher Ausführung dieser Schwachstelle kann eine serverseitige Request-Forgery (SSRF) ausgelöst werden. Diese kann geringfügige Auswirkungen auf die Integrität und Vertraulichkeit der Daten haben, jedoch bleibt die Verfügbarkeit der Anwendung unbeeinträchtigt.

6. Score 5.3   (Medium priority)

Nummer: 3351041

 [CVE-2024-47582] XML-Entitätserweiterungsschwachstelle in SAP NetWeaver AS JAVA

Ein nicht authentifizierter Angreifer kann schädliche Eingaben an einen Endpunkt senden, da die XML-Eingaben nicht ausreichend validiert werden. Dies ermöglicht einen XML-Entity-Expansion-Angriff, der die Verfügbarkeit der Anwendung geringfügig beeinträchtigen kann.

7. Score 5.3   (Medium priority)

Nummer: 3524933

[CVE-2024-32732] Schwachstelle bezüglich der Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform

Die SAP-BusinessObjects-Business-Intelligence-Plattform kann unter bestimmten Umständen einem Angreifer Zugriff auf Informationen gewähren, die normalerweise geschützt sind. Dies beeinträchtigt die Vertraulichkeit geringfügig, hat jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

8. Score 4.3   (Medium priority)

Nummer: 3536361

[CVE-2024-47585] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Ein authentifizierter Angreifer kann in SAP NetWeaver Application Server für ABAP und der ABAP-Plattform durch Ausnutzung fehlerhafter Berechtigungsprüfungen unbeabsichtigt höhere Zugriffsebenen erhalten. Dies führt zu einer Eskalation der Berechtigungen. Obwohl Import- und Exportrechte separat behandelt werden sollten, wird in diesem Fall nur eine einzelne Berechtigung angewendet, was zusätzliche Risiken mit sich bringt. Wird diese Schwachstelle erfolgreich ausgenutzt, könnte dies zu Sicherheitsbedenken führen. Die Integrität und Verfügbarkeit der Anwendung bleiben jedoch unberührt, und die Auswirkungen auf die Vertraulichkeit der Daten sind minimal.

9. Score 4.3   (Medium priority)

Nummer: 3515653

Aktualisierung 1 zu Sicherheitshinweis 3433545: [CVE-2024-42375] Mehrere Schwachstellen beim uneingeschränkten Datei-Upload in SAP-BusinessObjects-Business-Intelligence-Plattform

Dieser Sicherheitshinweis stellt eine Aktualisierung des ursprünglichen Sicherheitshinweises 3433545 dar. Die zuvor bereitgestellte Korrektur in diesem Hinweis ist nicht mehr gültig.

Kunden sollten diesen aktuellen SAP-Sicherheitshinweis implementieren, um die vollständige und korrekte Korrektur zu erhalten. Falls der Sicherheitshinweis 3433545 bereits angewendet wurde, ist es notwendig, diesen neuen Sicherheitshinweis zu integrieren, um die vollständige Behebung sicherzustellen.

Der Hinweis behandelt drei Schwachstellen im Zusammenhang mit dem uneingeschränkten Datei-Upload in der SAP-BusinessObjects-Business-Intelligence-Plattform. Nachfolgend finden Sie die Details zu den Schwachstellen sowie die zugehörigen CVE- und CVSS-Informationen:

CVE-2024-42375
Ein authentifizierter Angreifer kann über das Netzwerk schädlichen Code hochladen, der von der SAP-BusinessObjects-Business-Intelligence-Plattform ausgeführt werden könnte. Bei erfolgreichem Ausnutzen der Schwachstelle könnte die Integrität der Anwendung leicht beeinträchtigt werden.

  • CVSS-Wert: 4.3
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVE-2024-28166
Ein nicht authentifizierter Angreifer hat die Möglichkeit, schädliche Dateien über das Netzwerk in das BI-Datei-Repository hochzuladen. Um die Dateiformatprüfung des Frontends zu umgehen, sind tiefgehende Systemkenntnisse erforderlich. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann der Angreifer bestimmte Daten verändern, was geringe Auswirkungen auf die Integrität der Anwendung hat.

  • CVSS-Wert: 3.7
  • Bewertung: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

CVE-2024-41731
Ein authentifizierter Angreifer kann schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochladen. Auch hier sind fundierte Systemkenntnisse notwendig, um die Dateiformatprüfung des Frontends zu umgehen. Bei erfolgreichem Ausnutzen dieser Schwachstelle könnte der Angreifer die Integrität der Anwendung leicht beeinträchtigen.

  • CVSS-Wert: 3.1
  • Bewertung: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

10. Score 4.3   (Medium priority)

Nummer: 3433545

[CVE-2024-42375] Mehrere Schwachstellen beim uneingeschränkten Datei-Upload in SAP-BusinessObjects-Business-Intelligence-Plattform

Dieser Sicherheitshinweis bezieht sich auf drei Schwachstellen im Zusammenhang mit dem uneingeschränkten Datei-Upload in der SAP-BusinessObjects-Business-Intelligence-Plattform. Im Folgenden sind die Details zu den jeweiligen Schwachstellen sowie die zugehörigen CVE- und CVSS-Informationen aufgeführt:

CVE-2024-42375
Ein authentifizierter Angreifer kann über das Netzwerk schädlichen Code hochladen, der von der Anwendung ausgeführt werden könnte. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann der Angreifer die Integrität der Anwendung geringfügig beeinträchtigen.

  • CVSS-Wert: 4.3
  • Bewertung: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVE-2024-28166
Ein nicht authentifizierter Angreifer hat die Möglichkeit, schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochzuladen. Um die Prüfung des Frontend-Dateiformats zu umgehen, sind tiefgehende Systemkenntnisse erforderlich. Durch das erfolgreiche Ausnutzen der Schwachstelle kann der Angreifer Daten ändern, was zu geringen Auswirkungen auf die Integrität der Anwendung führt.

  • CVSS-Wert: 3.7
  • Bewertung: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

CVE-2024-41731
Ein authentifizierter Angreifer kann schadhafte Dateien über das Netzwerk in das BI-Datei-Repository hochladen. Auch hier sind fundierte Systemkenntnisse erforderlich, um die Dateiformatprüfung des Frontends zu umgehen. Wird die Schwachstelle erfolgreich ausgenutzt, kann der Angreifer die Integrität der Anwendung geringfügig beeinträchtigen.

  • CVSS-Wert: 3.1
  • Bewertung: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

11. Score 3.5   (Low priority)

Nummer: 3504847

[CVE-2024-47576] DLL-Hijacking-Schwachstelle in SAP Product Lifecycle Costing

Die Client-Anwendung von SAP Product Lifecycle Costing (Versionen vor 4.7.1) lädt bei Bedarf eine DLL, die standardmäßig mit dem Windows-Betriebssystem geliefert wird. Diese DLL wird auf dem Computer geladen, auf dem die Client-Anwendung ausgeführt wird. Es besteht die Möglichkeit, dass diese DLL durch eine schadhafte Version ersetzt wird, die dann Befehle im Kontext der Client-Anwendung ausführt. Wird diese Schwachstelle erfolgreich ausgenutzt, könnte dies die Vertraulichkeit der Anwendung geringfügig beeinträchtigen, jedoch keine Auswirkungen auf ihre Integrität und Verfügbarkeit haben.

12. Score 3.5   (Low priority)

Nummer: 3535451

[CVE-2024-47577] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

Im Assisted Service Modul von SAP Commerce Cloud gibt es eine Schwachstelle bei den Web-Service-API-Endpunkten, die zu einer unbeabsichtigten Offenlegung von Informationen führen kann. Wenn ein autorisierter Agent nach Kunden sucht, um deren Konten zu verwalten, werden Kundendaten in der URL der Anfrage übermittelt und in den Serverprotokollen gespeichert. Ein Angreifer, der sich als autorisierter Administrator ausgibt, könnte diese Protokolle einsehen und so auf die Kundendaten zugreifen. Die Menge der offenbarten vertraulichen Informationen ist jedoch sehr begrenzt, und der Angreifer hat keinerlei Kontrolle darüber, welche Daten er einsehen kann.

Wir empfehlen euch dringend, die Patches mit (sehr) hoher und mittlerer Priorität so schnell wie möglich zu installieren. Je schneller ihr reagiert, desto besser schützt ihr eure SAP-Landschaft vor Angriffen.

Sicher im Blick: SAP Security auf den Punkt gebracht mit dem werthAUDITOR Dashboard

Warum eine klare Übersicht Ihrer SAP-Sicherheitslage entscheidend ist

Die Sicherheitslandschaft in SAP-Systemen ist komplex, dynamisch und oft unübersichtlich. IT-Verantwortliche und Sicherheitsexperten stehen vor der Herausforderung, nicht nur aktuelle Bedrohungen und Schwachstellen zu identifizieren, sondern auch klare und verständliche Berichte für das Management zu liefern. Genau hier setzt der werthAUDITOR an – ein Dashboard, das die wichtigsten Kennzahlen Ihrer SAP-Systeme übersichtlich und intuitiv darstellt. Aber warum ist das so wichtig?

Das Kundenbedürfnis: Sicherheit auf einen Blick, auch für das Management verständlich

Die meisten Unternehmen wünschen sich eine aktuelle, präzise und visuell ansprechende Übersicht ihrer Sicherheitslage. Niemand hat die Zeit, sich durch endlose Logs oder manuell generierte Berichte zu arbeiten. Sicherheitsentscheidungen müssen schnell und fundiert getroffen werden – und dabei geht es nicht nur um Technik, sondern auch um die Kommunikation mit dem Management. Das Ziel: komplexe Informationen so aufzubereiten, dass auch Nicht-Techniker sofort die Dringlichkeit und den Handlungsbedarf erkennen können.

Die Lösung: werthAUDITOR SAP Security Dashboard

Unser werthAUDITOR Dashboard macht genau das: Es übersetzt komplexe Sicherheitsdaten in eine klar strukturierte Übersicht, die sowohl für technische als auch für nicht-technische Stakeholder geeignet ist.

Was bietet das Dashboard konkret?

  • Live-Überblick über Schwachstellen und Bedrohungen: Mit interaktiven Diagrammen und Grafiken, wie z. B. den aktuellen Schwachstellen pro System oder Bedrohungen im Zeitverlauf.
  • Key Performance Indicators (KPIs): Ein prägnanter Durchschnittswert Ihrer Sicherheitslage, ideal zur Kommunikation mit dem Management.
  • Detaillierte Einblicke: Neben der Managementebene können Experten tiefer in Schwachstellenkategorien, offene Sicherheitsfragen und Systemkonfigurationen eintauchen.
  • Automatisierte Analysen: Keine manuelle Konsolidierung von Daten – das Dashboard zieht alle relevanten Informationen direkt aus Ihren Systemen.

Der Mehrwert für Unternehmen

Das Dashboard schafft Transparenz, wo früher oft Unsicherheit herrschte. Mit der klaren Visualisierung kritischer Schwachstellen und Sicherheitskennzahlen können Sie:

  1. Prioritäten setzen: Ressourcen auf die dringlichsten Themen lenken.
  2. Management überzeugen: Maßnahmen mit fundierten Zahlen untermauern.
  3. Compliance sicherstellen: Anforderungen wie BSI-Grundschutz oder SAP Baseline schneller erfüllen.

Ein Beispiel aus der Praxis

Stellen Sie sich vor, das Management fragt Sie im wöchentlichen Meeting: „Wie steht es um die Sicherheitslage unserer SAP-Systeme?“ Mit dem werthAUDITOR müssen Sie keine umfangreichen Berichte zusammenstellen. Stattdessen präsentieren Sie eine präzise Übersicht – beispielsweise die durchschnittlichen Sicherheits-KPIs, offene Schwachstellen nach Kategorien oder die Fortschritte bei der Behebung kritischer Themen. Das spart Zeit, Nerven und sorgt für Klarheit.

Fazit: Der werthAUDITOR – Ihr Schlüssel zu besserer SAP-Sicherheit

In einer Zeit, in der Sicherheitsbedrohungen immer komplexer werden, ist eine klare Übersicht unverzichtbar. Der werthAUDITOR macht es einfach, jederzeit die Kontrolle zu behalten – von der IT-Abteilung bis zum Vorstand. Testen Sie unser Dashboard und erleben Sie, wie einfach und effektiv SAP-Sicherheitsmanagement sein kann.


Haben Sie Interesse an einer Demo? Kontaktieren Sie uns noch heute und lassen Sie sich überzeugen!

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für November 2024:

1. Score 8.8   (High priority)

Nummer: 3520281

[CVE-2024-47590] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Web Dispatcher

Ein Angreifer ohne Authentifizierung kann einen bösartigen Link erstellen und diesen öffentlich zugänglich machen. Klickt ein authentifizierter Benutzer auf diesen Link, werden dessen Eingaben von der Webseiten-Generierung verarbeitet. Dadurch erhält der Angreifer die Möglichkeit, über das Opfer-Browserfenster (XXS) oder die Datenweiterleitung zu einem anderen Server (SSRF) beliebigen Code auszuführen. Dies kann die Vertraulichkeit, Integrität und Verfügbarkeit der Serverinhalte vollständig beeinträchtigen.

2. Score 7.7   (High priority)

Nummer: 3483344

[CVE-2024-39592] Fehlende Berechtigungsprüfung in SAP PDCE

Bestimmte Komponenten in SAP PDCE führen für authentifizierte Benutzer keine notwendigen Berechtigungsprüfungen durch, was zu einer möglichen Ausweitung der Rechte führt. Dadurch kann ein Angreifer auf vertrauliche Informationen zugreifen, was die Vertraulichkeit der Anwendung erheblich gefährdet.

Änderungshistorie:

  • v11 (aktuell) – UPDATE 12. November 2024: Dieser SAP-Hinweis wurde mit ergänzenden Anweisungen zur Fehlerbehebung erneut veröffentlicht. Die Korrekturen für SEM-BW 600 stehen nun zur Verfügung.

  • v9 (vorher) – UPDATE 25. September 2024: Erneute Veröffentlichung dieses SAP-Hinweises mit überarbeiteten Korrekturdetails. Korrekturen für SEM-BW 602 bis SEM-BW 748 wurden bereitgestellt.

  • v7 (erste Version)

3. Score 6.5   (Medium priority)

Nummer: 3335394

[CVE-2024-42372] Fehlende Berechtigungsprüfung in SAP NetWeaver AS Java (System Landscape Directory)

Durch das Fehlen einer Berechtigungsprüfung in SAP NetWeaver AS Java (System Landscape Directory) können nicht autorisierte Benutzer auf bestimmte eingeschränkte globale SLD-Konfigurationen zugreifen und diese verändern. Dies hat moderate Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung.

4. Score 6.3   (Medium priority)

Nummer: 3509619

[CVE-2024-47595] Lokale Berechtigungseskalation im SAP Host-Agent

Ein Angreifer, der Mitgliedschaft in der lokalen Gruppe sapsys erlangt, könnte geschützte lokale Dateien ersetzen. Ein erfolgreicher Angriff hätte jedoch nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung.

5. Score 5.3   (Medium priority)

Nummer: 3393899

[CVE-2024-47592] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Application Server Java (Anmeldeanwendung)

Ein nicht authentifizierter Angreifer kann in SAP NetWeaver AS Java die Anmeldefunktion missbrauchen, um gültige Benutzer-IDs aufzudecken. Dabei wird die Vertraulichkeit beeinträchtigt, während Integrität und Verfügbarkeit unberührt bleiben.

6. Score 5.3   (Medium priority)

Nummer: 3504390

[CVE-2024-47586] NULL-Pointer-Dereferenz-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Auf SAP NetWeaver Application Server für ABAP und der ABAP-Plattform kann ein Angreifer ohne Authentifizierung einen böswillig gestalteten HTTP-Request senden, der eine NullPointer-Dereferenz im Kernel auslöst. Dies führt zu einem Systemabsturz und Neustart, wodurch das System vorübergehend nicht verfügbar ist. Die Vertraulichkeit und Integrität bleiben dabei unbeeinträchtigt.

7. Score 4.7   (Medium priority)

Nummer: 3522953

[CVE-2024-47588] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Java (Software Update Manager)

In SAP NetWeaver Java (Software Update Manager 1.1) werden Anmeldeinformationen unter bestimmten Bedingungen, wenn bei einem Software-Upgrade Fehler auftreten, in Klartext in eine Protokolldatei geschrieben. Ein Angreifer mit lokalem Zugriff auf den Server, der sich als nicht administrativer Benutzer authentifiziert, kann die Anmeldeinformationen aus den Protokollen abrufen. Dies hat hohe Auswirkungen auf die Vertraulichkeit, ohne dass sich dies auf die Integrität oder Verfügbarkeit auswirkt.

8. Score 4.3   (Medium priority)

Nummer: 3508947

[CVE-2024-47593] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Durch eine Sicherheitslücke im SAP NetWeaver Application Server ABAP können unbefugte Personen über das Netzwerk auf bestimmte Dateien zugreifen. Voraussetzung hierfür ist die Nutzung eines Web Dispatchers oder Proxy-Servers sowie der vorherige Zugriff auf die Datei über die SAP-GUI-for-HTML. Die Funktionalität der Anwendung bleibt hiervon unberührt.

9. Score 3.5   (Low priority)

Nummer: 3498470

[CVE-2024-47587] Fehlende Berechtigungsprüfung in SAP Cash Management (Cash-Vorgänge)

Das System führt bei Cash-Vorgängen keine ausreichenden Berechtigungsprüfungen durch. Dadurch können autorisierte Benutzer auf Funktionen zugreifen, für die sie eigentlich keine Berechtigung besitzen. Obwohl Benutzer mehr Rechte erhalten als vorgesehen, stellt dies keine ernsthafte Sicherheitsbedrohung dar.

10. Score 3.5   (Low priority)

Nummer: 3392049

[CVE-2024-33000] Fehlende Berechtigungsprüfung in SAP Bank Account Management

Eine Lücke in der Berechtigungsprüfung des SAP Bank Account Managements führt zu einer unerwünschten Erweiterung von Benutzerrechten. Dadurch können Benutzer unbeabsichtigt auf mehr Funktionen zugreifen als vorgesehen. Diese Schwachstelle hat jedoch nur geringe Auswirkungen auf die Vertraulichkeit der Daten. Die aktuelle Version (v12) dieses Sicherheitshinweises vom 12. November 2024 enthält keine neuen Informationen. Für eine optimale Datenkonsistenz empfehlen wir zusätzlich die Implementierung des Sicherheitshinweises 3498470.

Dies waren die Security Notes für Novemver 2024. Schnappt euch eine Tasse Kaffee oder Tee und ran an`s Patchen. 

Transparenz und Sicherheit in SAP-Transformationsprojekten mit werthANALYST

Im Zuge von Transformationsprojekten stehen Unternehmen zunehmend vor der Herausforderung, ihre komplexen IT- und SAP-Landschaften zu steuern und sicherzustellen, dass alle Systeme, Verbindungen und Benutzerrechte optimal aufeinander abgestimmt sind. Die werth IT GmbH aus Kamen bietet mit der werthAUDITOR Plattform eine umfassende Lösung für diese Herausforderungen. Zentral dabei ist der werthANALYST – ein leistungsstarkes Modul, das eine vollständige Übersicht über alle Verbindungen und Berechtigungen innerhalb der SAP-Umgebung ermöglicht und somit die Grundlage für eine reibungslose Transformation bietet.

Was ist werthANALYST?

Der werthANALYST ist speziell darauf ausgelegt, alle wichtigen Verbindungen und Berechtigungen in SAP-Systemlandschaften sichtbar zu machen. Die Lösung bietet eine detaillierte, grafische Darstellung aller Kommunikationswege und Verbindungen zwischen Systemen. So wird schnell und transparent ersichtlich, welche Systeme miteinander kommunizieren, welche Benutzer Zugriff haben und welche Art der Verbindung – etwa eine Trust-Verbindung – dafür genutzt wird. Dies ist besonders in Transformationsprojekten von Bedeutung, da durch die vollständige Übersicht potenzielle Stolperfallen identifiziert werden können, bevor sie zu Problemen führen.

Zentrale Funktionen des werthANALYST:

  • Analyse der (RFC-)Verbindungen und Systemkommunikation: Erfassung und grafische Darstellung aller Verbindungen zwischen den Systemen, inklusive Informationen über die Art der Verbindung, wie z. B. Trust- oder stored User RFC-Verbindungen.
  • Benutzer- und Berechtigungsanalyse: Auswertung, welche Benutzer welche Verbindungen nutzen und mit welchen Berechtigungen sie ausgestattet sind. Hierbei wird sichtbar, ob eine Verbindung möglicherweise zu wenig oder zu viele Berechtigungen hat.
  • Sicherheit durch Berechtigungsübersicht: Der werthANALYST hilft dabei, übermäßige Zugriffsrechte schnell zu identifizieren, die potenzielle Sicherheitsrisiken darstellen könnten.
  • Systeminformationen und Patch-Level: Alle relevanten Systeminformationen wie Patches, Mandanten und Default-User werden dokumentiert und analysiert.
  • Übersicht über Schnittstellen: Mit einer umfassenden Übersicht über alle Schnittstellen wie IDOCs, ODATA und mehr, sorgt werthANALYST für Klarheit und Kontrolle über Datenflüsse.

Der Nutzen für Transformationsprojekte: Risiken minimieren, Prozesse sichern

Eine der größten Herausforderungen bei Transformationsprojekten ist die Sicherstellung, dass alle für Geschäftsprozesse notwendigen Verbindungen bestehen und die Berechtigungen korrekt gesetzt sind. Eine fehlerhafte Berechtigung oder eine übersehene Verbindung kann schnell einen gesamten Prozess lahmlegen oder erhebliche Sicherheitsrisiken bergen. Der werthANALYST verhindert dies, indem er die vollständige Übersicht über alle Verbindungen und Berechtigungen bietet.

  • Sicherstellung der Prozessstabilität: Durch die klare Visualisierung der Verbindungen und der dahinterliegenden Berechtigungen wird sichergestellt, dass alle Systeme reibungslos miteinander kommunizieren können und wichtige Prozesse nicht durch fehlende Verbindungen gestört werden.
  • Minimierung von Sicherheitsrisiken: Zugriffe mit übermäßigen Rechten werden sofort sichtbar gemacht, wodurch potenzielle Sicherheitslücken frühzeitig geschlossen werden können.
  • Effizienzsteigerung in der Systemwartung: Die regelmäßige Analyse der Systeminformationen und Verbindungen hilft dabei, Sicherheitslücken und veraltete Patches rechtzeitig zu identifizieren, sodass der laufende Betrieb nicht beeinträchtigt wird.

Fazit

Mit werthANALYST bieten wir unseren Kunden eine unverzichtbare Lösung zur Sicherung ihrer SAP-Umgebungen. Das Tool hilft Unternehmen, alle kritischen Verbindungen und Berechtigungen im Blick zu behalten, um Transformationsprojekte erfolgreich umzusetzen und gleichzeitig die IT-Sicherheit zu erhöhen. Egal ob Schnittstellen, Berechtigungen oder Kommunikationswege – werthANALYST gibt Ihnen die Kontrolle und Transparenz, die Sie benötigen.

Erfahren Sie mehr über werthANALYST und unsere Lösungen auf www.werth-it.de – für eine sichere, transparente und erfolgreiche Transformation Ihrer SAP-Landschaft.

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Oktober 2024:

1. Score 9.8   (Hot News)

Nummer: 3479478

[CVE-2024-41730] Fehlende Authentifizierungsprüfung in SAP-BusinessObjects-Business-Intelligence-Plattform

Wenn die Enterprise-Authentifizierung in SAP BusinessObjects Business Intelligence für Single Sign-On aktiviert ist, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer über einen REST-Endpunkt ein Anmeldetoken erhält. Dies könnte zu einer erheblichen Gefährdung des Systems führen und hat weitreichende negative Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit.

Änderungsprotokoll:

v20 (aktuelle Version) – AKTUALISIERUNG 8. Oktober 2024: Mit neuen Informationen zu Support-Paketen und Patches wurde dieser SAP-Hinweis aktualisiert. Die Korrektur ist in 4.2 SP009 verfügbar.

v12 (vorherige Version) – UPDATE 20. August 2024: Dieser Hinweis wurde erneut veröffentlicht und enthält aktualisierte Informationen zur Gültigkeit sowie zusätzliche Behelfslösungen im Abschnitt „Lösung“.

v9 (Initiale Version)

2. Score 8.0   (High priority)

Nummer: 3523541

[CVE-2022-23302] Mehrere Schwachstellen in SAP Enterprise Project Connection

Die Versionen der Open-Source-Bibliotheken Spring-Framework und Log4j, die in SAP Enterprise Project Connection verwendet werden, könnten anfällig für die im Abschnitt „Weitere Begriffe“ dieses SAP-Sicherheitshinweises aufgeführten CVEs sein.

3. Score 7.7   (High priority)

Nummer: 3478615

[CVE-2024-37179] Schwachstelle mit Blick auf unsicheren Dateibetrieb in SAP-BusinessObjects-Business-Intelligence-Plattform (Web Intelligence)

Die SAP-BusinessObjects-Business-Intelligence-Plattform ermöglicht authentifizierten Benutzern, gezielt Anfragen an den Web Intelligence Reporting Server zu stellen. Dadurch können sie beliebige Dateien von dem Rechner herunterladen, auf dem der Dienst gehostet wird, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat.

4. Score 6.5   (Medium priority)

Nummer: 3495876

[Mehrere CVEs] Mehrere Schwachstellen in SAP Replication Server (FOSS)

In den Open-Source-Software-Bibliotheken (FOSS) OpenSSL und Spring Framework, die von SAP Replication Server bereitgestellt werden, wurden mehrere Schwachstellen festgestellt: CVE-2023-0215, CVE-2022-0778 und CVE-2023-0286. SAP Replication Server ist jedoch nicht von diesen Schwachstellen betroffen, da die anfälligen Funktionen aus den FOSS nicht verwendet werden. Dennoch könnten diese verwundbaren FOSS potenziell die Installationsumgebung angreifbar machen.

Änderungsprotokoll:

v9 (Aktuelle Version) – UPDATE 8. Oktober 2024: Dieser SAP-Hinweis wurde mit geringfügigen Textkorrekturen im Abschnitt „Symptom“ aktualisiert. Es sind keine Änderungen vorgenommen worden, die zusätzliche Schritte von Kunden erfordern.

v7 (Vorgängerversion) – UPDATE 10. September 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht.

v6 (Initialversion)

5. Score 6.0   (Medium priority)

Nummer: 3477359

[CVE-2024-45283] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS for Java (Destinations Service)

SAP NetWeaver AS for Java bietet einem berechtigten Angreifer die Möglichkeit, sensible Informationen abzurufen. Bei der Erstellung einer RFC-Destination kann der Angreifer sowohl den Benutzernamen als auch das Kennwort erlangen. Nach der erfolgreichen Ausnutzung dieser Schwachstelle hat der Angreifer Zugriff auf bestimmte sensible Informationen, kann jedoch keine Daten ändern oder löschen.

Änderungsprotokoll:

v8 (Aktuelle Version) – UPDATE 08. Oktober 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht. Geringfügige Textänderungen an den Lösungsinformationen wurden vorgenommen, die keine Maßnahmen seitens der Kunden erfordern.

v7 (Initialversion)

6. Score 5.4   (Medium priority)

Nummer: 3507545

[CVE-2024-45278] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-Commerce-Backoffice

Das SAP-Commerce-Backoffice kodiert Benutzereingaben unzureichend, wodurch eine Cross-Site-Scripting-Schwachstelle (XSS) entsteht. Bei erfolgreicher Ausnutzung kann ein Angreifer die Vertraulichkeit und Integrität der Anwendung in begrenztem Umfang beeinträchtigen.

7. Score 5.4   (Medium priority)

Nummer: 3503462

[CVE-2013-3587] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

Das KMC-Servlet im SAP NetWeaver Enterprise Portal kodiert Benutzereingaben unzureichend, was eine Cross-Site-Scripting-Schwachstelle zur Folge hat. Ein Angreifer könnte ein schädliches Skript erstellen und Benutzer dazu verleiten, darauf zu klicken. Wenn ein registrierter Portalbenutzer einem solchen Link folgt, könnten Vertraulichkeit und Integrität seiner Browsersitzung gefährdet werden.

8.. Score 4.3   (Medium priority)

Nummer: 3520100

[CVE-2024-45277] Prototypverschmutzungs-Schwachstelle im SAP-HANA-Client

Der SAP-HANA-Client weist eine Prototypverschmutzungs-Schwachstelle auf, die unter der Kennung CVE-2024-45277 bekannt ist.

9. Score 4.1  (Medium priority)

Nummer: 3454858 

[CVE-2024-37180] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Unter bestimmten Umständen erlaubt der SAP NetWeaver Application Server für ABAP sowie die ABAP-Plattform einem Angreifer den Zugriff auf remote-fähige Funktionsbausteine, die normalerweise eingeschränkten Berechtigungen unterliegen. Diese Funktion kann verwendet werden, um nicht sensible Informationen zu lesen, was geringe Auswirkungen auf die Vertraulichkeit der Anwendung hat.

Änderungsprotokoll:

v8 (Aktuelle Version) – UPDATE 08. Oktober 2024: Dieser SAP-Hinweis wurde erneut freigegeben, nachdem die manuelle Nacharbeit im Abschnitt „Lösung“ aktualisiert wurde. Der Transaktionscode wurde von SU22 auf SU24 angepasst.

v5 (Vorherige Version) – UPDATE 13. August 2024: Dieser SAP-Hinweis wurde mit neuen Lösungsinformationen aktualisiert und erneut veröffentlicht. Die manuelle Tätigkeit wurde auf die folgenden Releases ausgeweitet:

▪ SAP_BASIS 754 SP00 bis SP08
▪ SAP_BASIS 755 SP00 bis SP06
▪ SAP_BASIS 756 SP00 bis SP04
▪ SAP_BASIS 757 SP00 bis SP02

v3 (Erstveröffentlichung)

Das waren die aktuellen Patches für September 2024. Schnappt euch einen Kaffee und ab ans patchen… Bleibt sicher! 

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für September 2024:

1. Score 7.4   (High priority)

Nummer: 3459935 

[CVE-2024-33003] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Commerce Cloud

In der SAP Commerce Cloud ermöglichen einige OCC-API-Endpunkte das Einfügen personenbezogener Daten (PII)—darunter Kennwörter, E-Mail-Adressen, Mobiltelefonnummern sowie Coupon- und Gutscheincodes—als Abfrage- oder Pfadparameter in die Anfrage-URL. Sollte dies ausgenutzt werden, könnte es erhebliche Risiken für die Vertraulichkeit und Integrität der Anwendung mit sich bringen.

Änderungsprotokoll:

v29 (Aktuelle Version) – Aktualisierung 10. September 2024: Der Hinweis wurde mit aktualisierten Lösungshinweisen neu veröffentlicht. Das aktuelle SAP-Commerce-Cloud-Update-Release 2211.28 enthält alle erforderlichen Korrekturen.

v22 (Initialversion)

 

2. Score 6.5   (Medium priority)

Nummer: 3488341

[CVE-2024-45286] Fehlende Berechtigungsprüfung in SAP Production and Revenue Accounting (Tobin-Schnittstelle)

Ein Funktionsbaustein in der veralteten Tobin-Schnittstelle von SAP Production and Revenue Accounting ermöglicht aufgrund fehlender Berechtigungsprüfungen unberechtigten Zugriff, der zu einer Offenlegung hochsensibler Daten führen kann. Es gibt jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Daten.

3. Score 6.5   (Medium priority)

Nummer: 3495876

[Mehrere CVEs] Mehrere Schwachstellen in SAP Replication Server (FOSS)

Mehrere Schwachstellen—CVE-2023-0215, CVE-2022-0778 und CVE-2023-0286—wurden in den von SAP Replication Server verwendeten Free-Open-Source-Software-Bibliotheken (FOSS), OpenSSL und Spring Framework, festgestellt. Obwohl SAP Replication Server nicht von diesen Schwachstellen betroffen ist, da die anfälligen Funktionen in den betroffenen FOSS nicht genutzt werden, könnten diese verwundbaren FOSS die Installationsumgebung potenziell angreifbar machen.

Änderungsprotokoll:

v7 (Aktuelle Version) – UPDATE 10. September 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht.

v6 (Initialversion)

4. Score 6.1   (Medium priority)

Nummer: 3495876

[CVE-2024-45279] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server für ABAP (CRM Blueprint Application Builder Panel)

Das CRM Blueprint Application Builder Panel von SAP NetWeaver Application Server für ABAP weist unzureichende Eingabevalidierung auf, die es einem nicht authentifizierten Angreifer ermöglicht, URL-Links zu erstellen, die schädliches JavaScript einbetten. Klickt ein Opfer auf solch einen Link, wird das Skript im Browser des Opfers ausgeführt, wodurch der Angreifer in der Lage ist, sensible Informationen zu erlangen und zu verändern, ohne dabei die Verfügbarkeit der Anwendung zu gefährden.

5. Score 6.1   (Medium priority)

Nummer: 3497347

[CVE-2024-42378] Cross-Site-Scripting (XSS) in eProcurement auf SAP S/4HANA

Durch eine unzureichende Kodierung benutzergesteuerter Eingaben in eProcurement auf SAP S/4HANA können schädliche Skripte innerhalb der Anwendung ausgeführt werden. Dies könnte zu einer Reflected Cross-Site Scripting (XSS)-Schwachstelle führen. Während die Verfügbarkeit der Anwendung nicht betroffen ist, können dennoch geringfügige Auswirkungen auf ihre Vertraulichkeit und Integrität auftreten.

6. Score 6.0   (Medium priority)

Nummer: 3477359

[CVE-2024-45283] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS for Java (Destinations Service)

SAP NetWeaver AS for Java ermöglicht es einem berechtigten Angreifer, sensible Informationen abzurufen. Der Angreifer kann beim Erstellen einer RFC-Destination Benutzernamen und Kennwörter einsehen. Obwohl der Angreifer nach erfolgreicher Ausnutzung der Schwachstelle auf diese sensiblen Informationen zugreifen kann, ist es ihm nicht möglich, die Daten zu ändern oder zu löschen.

7. Score 5.9   (Medium priority)

Nummer: 3430336

[CVE-2013-3587] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

Die SAP BusinessObjects Business Intelligence Plattform erlaubt es einem Benutzer mit hohen Berechtigungen, Client-Desktop-Anwendungen auszuführen, selbst wenn einige DLLs entweder nicht digital signiert oder deren Signaturen beschädigt sind. Um DLL-bezogene Aufgaben durchzuführen, benötigt der Angreifer lokalen Zugriff auf das betroffene System. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben.

7. Score 5.8   (Medium priority)

Nummer: 3425287

[CVE-2024-45281] DLL-Hijacking-Schwachstelle in SAP-BusinessObjects-Business-Intelligence-Plattform

Durch die Verwendung der Gzip-HTTP-Komprimierung in der Web-App von SAP Commerce Cloud besteht eine potenzielle Anfälligkeit für BREACH-Angriffe gemäß CVE-2013-3587, wenn bestimmte im folgenden Abschnitt erläuterte Bedingungen erfüllt sind. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit haben, während die Integrität und Verfügbarkeit des Systems nicht beeinträchtigt werden.

9. Score 5.4   (Medium priority)

Nummer: 3488039

[Mehrere CVEs] Mehrere Schwachstellen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

In diesem Sicherheitshinweis werden sechs Schwachstellen in SAP NetWeaver Application Server für ABAP und der ABAP-Plattform behandelt, die durch fehlende Berechtigungsprüfungen verursacht werden. Im Folgenden sind die Details der Sicherheitslücken sowie die relevanten CVE- und CVSS-Informationen aufgeführt:

  • CVE-2024-42371: Diese Schwachstelle ermöglicht es einem Benutzer mit niedrigen Berechtigungen, die Arbeitsplatzfavoriten beliebiger Benutzer zu löschen. Dies kann verwendet werden, um Benutzernamen zu identifizieren und Informationen über Arbeitsplätze und Knoten der Zielbenutzer zu erlangen. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.

    • CVSS: 5.4; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-44117: Hier kann ein Benutzer mit geringen Berechtigungen verschiedene Aktionen ausführen, wie das Ändern der URLs der Favoritenknoten und der Arbeitsmappen-ID eines beliebigen Benutzers. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.

    • CVSS: 5.4; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-45285: Diese Schwachstelle erlaubt es einem Benutzer mit niedrigen Berechtigungen, eine Serviceverweigerung für jeden Benutzer auszulösen und Favoritenknoten zu ändern oder zu löschen. Durch das Versenden eines speziell präparierten Pakets werden die SAP GUI-Funktionen des Zielbenutzers unzugänglich. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.

    • CVSS: 5.4; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-42380: Ein Benutzer mit geringen Berechtigungen kann die Arbeitsplatzfavoriten und das Benutzermenü eines beliebigen Benutzers einsehen, einschließlich aller spezifischen Knotendaten. Dies ermöglicht das Identifizieren von Benutzernamen. Die Auswirkungen auf die Vertraulichkeit der Anwendung sind gering.

    • CVSS: 4.3; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-44115: Mit dieser Schwachstelle kann ein Benutzer mit niedrigen Berechtigungen URLs zu den Arbeitsplatzfavoriten eines beliebigen Benutzers hinzufügen. Diese Schwachstelle ermöglicht es, Benutzernamen zu identifizieren und auf Informationen zu den Arbeitsplätzen und Knoten des Zielbenutzers zuzugreifen. Die Auswirkungen auf die Integrität der Anwendung sind gering.

    • CVSS: 4.3; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-44116: Ein Benutzer mit niedrigen Berechtigungen kann beliebige Arbeitsmappen zu den Arbeitsplatzfavoriten eines beliebigen Benutzers hinzufügen. Diese Schwachstelle kann verwendet werden, um Benutzernamen zu identifizieren und auf Informationen zu den Arbeitsplätzen des Zielbenutzers zuzugreifen. Die Auswirkungen auf die Integrität der Anwendung sind gering.

    • CVSS: 4.3; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A

10. Score 4.8   (Medium priority)

Nummer: 3505503

[CVE-2024-45280] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver AS Java (Anmeldeanwendung)

Durch eine unzureichende Kodierung benutzergesteuerter Eingaben in SAP NetWeaver AS Java können bösartige Skripte in der Anmeldeanwendung ausgeführt werden. Diese Schwachstelle hat nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, während die Verfügbarkeit nicht betroffen ist.

11. Score 4.7   (Medium priority)

Nummer: 3498221

[CVE-2024-44120] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Enterprise Portal

Aufgrund unzureichender Kodierung benutzergesteuerter Eingaben ist SAP NetWeaver Enterprise Portal anfällig für Reflected Cross-Site Scripting (XSS). Ein nicht authentifizierter Angreifer kann eine bösartige URL erstellen und einen Benutzer dazu verleiten, darauf zu klicken. Wenn das Opfer diese manipulierte URL öffnet, bevor eine Zeitüberschreitung eintritt, kann der Angreifer Inhalte des Benutzers im Browser auslesen und verändern.

12. Score 4.3   (Medium priority)

Nummer: 3505293

[CVE-2024-44112] Fehlende Berechtigungsprüfung in SAP for Oil & Gas (Transport und Verteilung)

 

In SAP for Oil & Gas (Transport und Verteilung) ermöglicht eine fehlende Berechtigungsprüfung, dass sich ein nicht administrativer Benutzer in das System einloggt und eine remote-fähige Funktion aufruft, um Einträge in einer Benutzerdatentabelle zu löschen. Diese Schwachstelle beeinträchtigt weder die Vertraulichkeit noch die Verfügbarkeit der Daten.

13. Score 4.3   (Medium priority)

Nummer: 3481992

[CVE-2024-44113] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Business Warehouse (BEx Analyzer)

 

SAP Business Warehouse (BEx Analyzer) bietet aufgrund unzureichender Berechtigungsprüfungen einem authentifizierten Angreifer Zugang zu normalerweise eingeschränkten Netzwerkinformationen. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann der Angreifer gezielt Informationen abrufen, die potenziell die Vertraulichkeit der Anwendung gefährden.

14. Score 4.3   (Medium priority)

Nummer: 3481588

[CVE-2024-41729] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver BW (BEx Analyzer)

 

Aufgrund unzureichender Berechtigungsprüfungen erlaubt SAP BEx Analyzer einem authentifizierten Angreifer den Zugriff auf normalerweise eingeschränkte Netzwerkinformationen. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann der Angreifer gezielt Informationen abrufen, die potenziell die Vertraulichkeit der Anwendung beeinträchtigen.

15. Score 2,7  (Medium priority)

Nummer: 2256627

[CVE-2024-45284] Fehlende Berechtigungsprüfung in (SLcM)

Durch unzureichende Zugriffsbeschränkungen in SLcM-Transaktionen kann ein authentifizierter Benutzer Funktionen erreichen, die normalerweise nicht verfügbar sein sollten. Diese unzulässige Rechteausweitung hat nur geringe Auswirkungen auf die Integrität der Anwendung.

16. Score 2,7  (Medium priority)

Nummer: 3496410

[CVE-2024-41728] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Aufgrund einer fehlenden Berechtigungsprüfung erlaubt der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einem als Entwickler angemeldeten Angreifer, Objekte innerhalb eines Pakets zu lesen. Diese Schwachstelle wirkt sich auf die Vertraulichkeit aus, da der Angreifer unter normalen Umständen keinen Zugriff auf diese Objekte hätte.

17. Score 2,0  (Medium priority)

Nummer: 3507252

[CVE-2024-44114] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

 

Im SAP NetWeaver Application Server für ABAP und der ABAP-Plattform können Benutzer mit erweiterten Berechtigungen ein Programm ausführen, das Daten über das Netzwerk preisgibt. Diese Schwachstelle hat nur geringe Auswirkungen auf die Vertraulichkeit der Anwendung.

Das waren die aktuellen Patches für September 2024. Schnappt euch einen Kaffee und ab ans patchen… Bleibt sicher!