Willkommen zu den aktuellsten SAP Security News. Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.
Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren. Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:
(CVSS 8,8) BC-JAS-SEC-UME
Der ursprüngliche Hinweis ist vom 13.02.2024. Der Hinweis ist veraltet, für die vollständige Korrektur soll der SAP-Sicherheitshinweis 3557138 eingespielt werden.
(CVSS 8,7) BI-BIP-AUT
3525794 [CVE-2025-0064] Falsche Berechtigung in der SAP-BusinessObjects-Business-Intelligence-Plattform (Central Management Console)
Eine falsche Zugriffskontrolle ermöglicht es einem Administrator, auf die geheimen Passphrasen der vertrauenswürdigen Systeme zuzugreifen. Außerdem ist die Passphrase nicht hostspezifisch.
(CVSS 8,6) SRM-CAT-MDM
Mit SAP Supplier Relationship Management (Stammdatenmanagement-Katalog) kann ein nicht authentifizierter Angreifer ein öffentlich verfügbares Servlet verwenden, um eine beliebige Datei ohne Benutzerinteraktion über das Netzwerk herunterzuladen. Dadurch können hochsensible Informationen ohne Auswirkungen auf die Integrität oder Verfügbarkeit offengelegt werden.
(CVSS 8,1) BC-XS-APR
3567974 [CVE-2025-24876] Authentifizierungsumgehung über Berechtigungscode-Injection in SAP Approuter
SAP Approuter in älteren Versionen als 16.7.2 ist von der Authentifizierungsumgehung über die in CVE-2025-24876 genannte Berechtigungscode-Injection betroffen.
(CVSS 7,5) CA-EPC
SAP Enterprise Project Connection verwendet Versionen von Spring-Framework-Open-Source-Bibliotheken, die anfällig für die im Abschnitt "Weitere Begriffe" des vorliegenden SAP-Sicherheitshinweises genannten CVEs sein können.
(CVSS 7,1) BC-XS-SEC
3563929 [CVE-2025-24868] Open-Redirect-Schwachstelle in den erweiterten Anwendungsservices von SAP HANA, erweitertes Modell(User Account and Authentication Services)
Der User Account and Authentication Service (UAA) für erweiterte Anwendungsservices von SAP HANA, erweitertes Modell (SAP HANA XS Advanced Model) ermöglicht es einem nicht authentifizierten Angreifer, einen schädlichen Link zu erstellen, der, wenn er von einem Opfer angeklickt wird, den Browser aufgrund einer unzureichenden Umleitungs-URL-Validierung auf eine schädliche Site umleitet. Nach erfolgreicher Ausnutzung kann der Angriff begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben.
Handlungsempfehlungen
Es wird dringend empfohlen, die genannten Hinweise zu prüfen und gegebenenfalls Maßnahmen zu ergreifen. Die Relevanz der Hinweise für Ihre spezifische Umgebung sollte im Einzelfall geprüft werden.
Unterstützung und Kontakt
Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.
Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.
Um auch wirklich kein Update mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an.
Comments