Willkommen zu den aktuellsten SAP Security News. Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.
Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren. Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:
(CVSS 8,8) CEC-SCC-COM-BC-BCOM
Aufgrund einer unzureichenden Eingabevalidierung ermöglicht SAP Commerce (Swagger-UI) einem nicht authentifizierten Angreifer, den schädlichen Code aus Remote-Quellen einzuschleusen, der von einem Angreifer genutzt werden kann, um einen Cross-Site-Scripting-Angriff (XSS-Angriff) auszuführen. Dies kann große Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten in SAP Commerce haben.
(CVSS 8,8) BC-DWB-TOO-CLA
Aufgrund einer fehlenden Berechtigungsprüfung ermöglicht SAP NetWeaver (ABAP Class Builder) einem Angreifer, höhere Zugriffsebenen zu erhalten, als er haben sollte, was zu einer Rechteausweitung führt. Nach erfolgreicher Nutzung könnte dies zur Offenlegung hochsensibler Informationen führen. Dies könnte auch große Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung haben.
(CVSS 8,6) CEC-SCC-COM-BBA-COM
SAP Commerce Cloud verwendet eine Version von Apache Tomcat, die für DOS (CVE-2024-38286) und ungeprüfte Fehlerbedingungen (CVE-2024-52316) anfällig sein kann. Für diese Schwachstellen müssen zuerst die Voraussetzungen erfüllt sein, wie in den CVEs beschrieben.
(CVSS 8,1) BC-XS-APR
Unter bestimmten Umständen sind SAP-AppRouter-Versionen vor 16.7.2 von der Authentifizierungsumgehung über die in CVE-2025-24876 genannte Berechtigungscode-Injection betroffen. Alle SAP-AppRouter-Deployments in SAP BTP sind betroffen. Wir empfehlen dringend, alle SAP-AppRouter-Deployments auf Version 16.7.2 oder höher zu aktualisieren. Die FAQ dazu finden Sie im entsprechenden Support-Hinweis 3571636.
(CVSS 7,7) FIN-BA
Elemente von SAP PDCE führen für einen authentifizierten Benutzer nicht die erforderlichen Berechtigungsprüfungen durch, was eine Rechteausweitung zur Folge hat. Dies ermöglicht es einem Angreifer, sensible Informationen zu lesen, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat.
Handlungsempfehlungen
Es wird dringend empfohlen, die genannten Hinweise zu prüfen und gegebenenfalls Maßnahmen zu ergreifen. Die Relevanz der Hinweise für Ihre spezifische Umgebung sollte im Einzelfall geprüft werden.
Unterstützung und Kontakt
Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.
Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.
Um auch wirklich kein Update mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an.
Opmerkingen