Aktuelle SAP® Security News - 4/2025

Willkommen zu den aktuellsten SAP Security News von entplexit. Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren. Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:

(CVSS 9,9) CA-LT-ANA

3587115 [CVE-2025-31330] Code Injection Vulnerability in SAP Landscape Transformation (Analysis Platform)

SAP Landscape Transformation (SLT) ermöglicht es einem Angreifer mit Benutzerberechtigungen, eine Schwachstelle im über RFC exponierten Funktionsbaustein auszunutzen. Dieser Fehler ermöglicht die Einschleusung von beliebigem ABAP-Code in das System, wobei wesentliche Berechtigungsprüfungen umgangen werden. Diese Schwachstelle fungiert effektiv als Hintertür und birgt das Risiko eines vollständigen Systemkompromisses und untergräbt die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

(CVSS 9,9) CA-LT-ANA

3581961 [CVE-2025-27429] Code Injection Vulnerability in SAP S/4HANA (Private Cloud)

SAP S/4HANA ermöglicht es einem Angreifer mit Benutzerberechtigungen, eine Schwachstelle im über RFC exponierten Funktionsbaustein auszunutzen. Dieser Fehler ermöglicht die Einschleusung von beliebigem ABAP-Code in das System, wobei wesentliche Berechtigungsprüfungen umgangen werden. Diese Schwachstelle fungiert effektiv als Hintertür und birgt das Risiko eines vollständigen Systemkompromisses und untergräbt die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

(CVSS 9,8) EPM-BFC-TCL-ADM-SEC

3572688 [CVE-2025-30016] Authentication Bypass Vulnerability in SAP Financial Consolidation

SAP Financial Consolidation ermöglicht es einem nicht authentifizierten Angreifer, unberechtigten Zugriff auf das Administratorkonto zu erhalten. Die Schwachstelle tritt aufgrund falscher Authentifizierungsmechanismen auf, wodurch es große Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung gibt.

(CVSS 8,5) BC-MID-RFC

3554667 [CVE-2025-23186] Mixed Dynamic RFC Destination vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

Unter bestimmten Bedingungen ermöglicht es SAP NetWeaver Application Server ABAP einem authentifizierten Angreifer, einen Remote-Function-Call-Request (RFC-Request) an eingeschränkte Destinationen zu stellen, mit dem Anmeldeinformationen für einen Remote-Service bereitgestellt werden können. Diese Anmeldeinformationen können dann weiter ausgenutzt werden, um den Remote-Service vollständig zu gefährden, was möglicherweise erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben kann.

(CVSS 8,1) CEC-SCC-CDM-CKP-COR

3590984 [CVE-2024-56337] Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat within SAP Commerce Cloud

SAP Commerce Cloud verwendet Versionen von Apache Tomcat, die eine TOCTOU-Race-Condition (CVE-2024-56337) enthalten.

Unter bestimmten Bedingungen kann ein nicht authentifizierter Angreifer CVE-2024-56337 ausnutzen. Wenn die Schwachstelle erfolgreich ausgenutzt wird, könnte sie die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig beeinträchtigen. Der Erfolg dieser Ausnutzung hängt jedoch von einer Servereinstellung ab, die außerhalb der Kontrolle des Angreifers liegt, und SAP Commerce kann nicht sofort ausgenutzt werden.

(CVSS 7,7) FS-CYT

2927164 [CVE-2025-30014] Directory Traversal vulnerability in SAP Capital Yield Tax Management

SAP Capital Yield Tax Management weist eine Directory-Traversal-Schwachstelle aufgrund einer unzureichenden Pfadvalidierung auf. Dies kann es einem Angreifer mit geringen Berechtigungen ermöglichen, Dateien aus einem Verzeichnis zu lesen, auf das er keinen Zugriff hat, was große Auswirkungen auf die Vertraulichkeit hat. Integrität und Verfügbarkeit sind nicht betroffen.

(CVSS 7,7) SV-SMG-SDD

3581811 [CVE-2025-27428] Directory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection)

Aufgrund einer Directory-Traversal-Schwachstelle kann ein autorisierter Angreifer über einen RFC-fähigen Funktionsbaustein Zugriff auf einige kritische Informationen erhalten. Nach erfolgreicher Ausnutzung konnten sie Dateien aus jedem verwalteten System lesen, das mit SAP Solution Manager verbunden ist, was große Auswirkungen auf die Vertraulichkeit hat. Es gibt keine Auswirkungen auf die Integrität oder Verfügbarkeit.

Handlungsempfehlungen

Wir von entplexit empfehlen dringend, die genannten Hinweise zu prüfen und gegebenenfalls Maßnahmen zu ergreifen. Die Relevanz der Hinweise für Ihre spezifische Umgebung sollte im Einzelfall geprüft werden.

Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.

Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!