top of page
Suche

Aktuelle SAP® Security News - 10/2025

  • kseybold8
  • 14. Okt.
  • 3 Min. Lesezeit

Willkommen zu den aktuellsten SAP Security News von entplexit.


Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.


ree

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren.


Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:


  • (CVSS 10) BC-JAS-COR-RMT (Update)

    3634501 [CVE-2025-42944] Schwachstelle bezüglich unsicherer Deserialisierung in SAP NetWeaver (RMI-P4)

    Aufgrund einer Deserialisierungsschwachstelle in SAP NetWeaver kann ein nicht authentifizierter Angreifer das System über das RMI-P4-Modul ausnutzen, indem er eine schädliche Payload an einen offenen Port sendet. Die Deserialisierung derartiger nicht vertrauenswürdiger Java-Objekte kann die beliebige Ausführung von Betriebssystembefehlen zur Folge haben, was sich in hohem Maße auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirkt.


  • (CVSS 10) BC-JAS-COR

    3660659 [CVE-2025-42944] Security Hardening for Insecure Deserialization in SAP NetWeaver AS Java

    Mit SAP NetWeaver AS Java kann ein Angreifer, der sich als nicht administrativer Benutzer authentifiziert hat, eine Schwachstelle in einem verfügbaren Service ausnutzen, um eine beliebige Datei hochzuladen. Wird diese Datei ausgeführt, kann dies zu einer vollständigen Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.


  • (CVSS 9,8) BC-CCM-PRN

    3630595 [CVE-2025-42937] Directory-Traversal-Schwachstelle in SAP Print Service

    SAP Print Service (SAPSprint) führt eine unzureichende Validierung der von Benutzern bereitgestellten Pfadinformationen durch. Ein nicht authentifizierter Angreifer könnte daher zum übergeordneten Verzeichnis wechseln und Systemdateien überschreiben, was sich in hohem Maße auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirken würde.


  • (CVSS 9) SRM-UIA-SHP-BD

    3647332 [CVE-2025-42910] Unrestricted File Upload Vulnerability in SAP Supplier Relationship Management

    Aufgrund einer fehlenden Verifizierung des Dateityps oder -inhalts ermöglicht SAP Supplier Relationship Management einem authentifizierten Angreifer das Hochladen beliebiger Dateien. Diese Dateien können ausführbare Dateien enthalten, die vom Benutzer heruntergeladen und ausgeführt werden können, der Malware hosten könnte. Nach erfolgreicher Ausnutzung kann ein Angreifer hohe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben.


  • (CVSS 7,5) CEC-SCC-COM-SRC-SER

    3664466 [CVE-2025-5115] Denial-of-Service-Schwachstelle (DoS) in SAP Commerce Cloud (Suche und Navigation)

    SAP Commerce Cloud Suche und Navigation verwendet Jetty, das aufgrund eines Fehlers im HTTP/2-Protokoll anfällig für Denial-of-Service-Angriffe (DoS) ist. Ein böswilliger Client kann weitere Streams öffnen und gezielte Anforderungen senden, die dazu führen können, dass der Server die Streams zurücksetzt und über einen kurzen Zeitraum übermäßig viele Ressourcen verbraucht. Dies wirkt sich in hohem Maße auf die Verfügbarkeit der Anwendung aus. Vertraulichkeit und Integrität bleiben unberührt.


  • (CVSS 7,1) CEC-SCC-INT-HUB

    3658838 [CVE-2025-48913] Security Misconfiguration vulnerability in SAP Data Hub Integration Suite

    Aufgrund der Verwendung von Apache-CXF-3.5.1-Bibliotheken mit JMS-/JNDI-Konfiguration in SAP Data Hub Suite kann ein nicht authentifizierter Benutzer JMS konfigurieren und schädliche RMI-/LDAP-Endpunkte (CVE-2025-48913) bereitstellen, die eine Schwachstelle bei der Codeausführung nutzen können, was zu hohen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung führen kann.



Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des System Recommendations Service möglich.


Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.


Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!



Kommentare

Impressum        Datenschutz  

© Copyright
bottom of page