Aktuelle SAP® Security News - 11/2025

Willkommen zu den aktuellsten SAP Security News von entplexit.

Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren.

Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:

• (CVSS 10) BC-SYB-SQA-ADM

  3666261 [CVE-2025-42890] Insecure key & Secret Management vulnerability in SQL Anywhere Monitor (Non-Gui)

  SQL Anywhere-Monitor (Nicht-GUI): fest programmierte Anmeldeinformationen für den Code, die Ressourcen oder Funktionen für unbeabsichtigte Benutzer verfügbar machen und Angreifern die Möglichkeit der Ausführung von beliebigem Code bieten. Dies kann hohe Auswirkungen auf die Integrität und Verfügbarkeit der Vertraulichkeit des Systems haben.

• (CVSS 9,9) SV-SMG-SVD-SWB

  3668705 [CVE-2025-42887] Code-Injection-Schwachstelle in SAP Solution Manager

  Aufgrund einer fehlenden Eingabebereinigung ermöglicht SAP Solution Manager einem authentifizierten Angreifer, beim Aufruf eines remote-fähigen Funktionsbausteins schädlichen Code einzufügen. Auf diese Weise kann der Angreifer die volle Kontrolle über das System erhalten, was in hohem Maße die Vertraulichkeit, Integrität und Verfügbarkeit des Systems beeinträchtigt.

• (CVSS 7,5) BC-IAM-SSO-CCL

  3633049 [CVE-2025-42940] Speicherbeschädigungsschwachstelle in SAP CommonCryptoLib

  SAP CommonCryptoLib führt während der Vorauthentifizierung beim Parsen von ASN.1-Daten über das Netzwerk keine erforderlichen Grenzprüfungen durch. Dies ermöglicht es einem Angreifer, schädliche Daten zu senden, die zu einer Beschädigung des Speichers und anschließend zu einem Absturz der Anwendung führen können, was erhebliche Auswirkungen auf die Verfügbarkeit hat. Vertraulichkeit oder Integrität werden nicht beeinträchtigt.

Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.

Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!