top of page
Suche

Aktuelle SAP® Security News - 12/2025

  • kseybold8
  • 9. Dez.
  • 3 Min. Lesezeit

Willkommen zu den aktuellsten SAP Security News von entplexit.


Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.


ree

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren.


Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:


  • (CVSS 9,9) SV-SMG-SVD-SWB

    3685270 [CVE-2025-42880] Code-Injection-Schwachstelle in SAP Solution Manager

    Aufgrund einer fehlenden Eingabebereinigung ermöglicht SAP Solution Manager einem authentifizierten Angreifer, beim Aufruf eines remote-fähigen Funktionsbausteins schädlichen Code einzufügen. Auf diese Weise kann der Angreifer die volle Kontrolle über das System erhalten, was in hohem Maße die Vertraulichkeit, Integrität und Verfügbarkeit des Systems beeinträchtigt.


  • (CVSS 9,6) CEC-SCC-PLA-PL

    3683579 Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud

    SAP Commerce Cloud verwendet eine Version von Apache Tomcat, die für Konsolenmanipulationsangriffe über eine speziell gestaltete URL (CVE-2025-55754) und relative Pfad-Traversal (CVE-2025-55752) anfällig sein könnte. Für diese Schwachstellen müssen zuerst die Voraussetzungen gelten, wie in den CVEs erläutert. Dies hat große Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit.


  • (CVSS 9,1) BC-SYB-SDK

    3685286 [CVE-2025-42928] Deserialization Vulnerability in SAP jConnect - SDK for ASE

    SAP Web Dispatcher und ICM stellen unter Umständen interne Testschnittstellen bereit, die nicht für den Produktivbetrieb vorgesehen sind. Bei entsprechender Aktivierung können nicht authentifizierte Angreifer diese ausnutzen, um auf Diagnosen zuzugreifen, gezielte Anforderungen zu senden oder Dienste zu unterbrechen. Diese Schwachstelle hat große Auswirkungen auf die Vertraulichkeit und die Verfügbarkeit der Anwendung und geringe Auswirkungen auf deren Integrität.


  • (CVSS 8,2) BC-CST-IC

    3684682 [CVE-2025-42878] Schwachstelle bezüglich der Offenlegung sensibler Daten in SAP Web Dispatcher und Internet Communication Manager (ICM)

    SAP Web Dispatcher und ICM stellen unter Umständen interne Testschnittstellen bereit, die nicht für den Produktivbetrieb vorgesehen sind. Bei entsprechender Aktivierung können nicht authentifizierte Angreifer diese ausnutzen, um auf Diagnosen zuzugreifen, gezielte Anforderungen zu senden oder Dienste zu unterbrechen. Diese Schwachstelle hat große Auswirkungen auf die Vertraulichkeit und die Verfügbarkeit der Anwendung und geringe Auswirkungen auf deren Integrität.


  • (CVSS 7,9) BW-BEX-ET-XC

    3640185 [CVE-2025-42874] Denial-of-Service (DOS) in SAP NetWeaver (Remote-Service für Xcelsius)

    Mit dem SAP-NetWeaver-Remote-Service für Xcelsius kann ein Angreifer mit Netzwerkzugriff und hohen Berechtigungen infolge einer unzureichenden Eingabevalidierung und einer falschen Verarbeitung von Remote-Methodenaufrufen beliebigen Code im betroffenen System ausführen. Die Ausnutzung erfordert keine Benutzerinteraktion und kann zu Serviceunterbrechungen oder nicht autorisierter Systemsteuerung führen. Dies hat erhebliche Auswirkungen auf die Integrität und Verfügbarkeit, jedoch keine Auswirkungen auf die Vertraulichkeit.


  • (CVSS 7,5) BI-BIP-CMC

    3650226 [CVE-2025-48976] Denial-of-Service (DoS) in SAP Business Objects

    SAP Business Objects ermöglicht es einem nicht authentifizierten Angreifer, den Service aufgrund einer unsachgemäßen Anfrage- und Ressourcenbehandlung zu überlasten, wodurch rechtmäßige Benutzer daran gehindert werden, darauf zuzugreifen, und es zu langen Verzögerungen oder Serviceunterbrechungen kommt. Dies hat keine Auswirkungen auf die Vertraulichkeit und Integrität des Systems; beeinträchtigt aber in hohem Maße dessen Verfügbarkeit.


  • (CVSS 7,5) BC-CST-IC

    3677544 [CVE-2025-42877] Speicherbeschädigungsschwachstelle in SAP Web Dispatcher, Internet Communication Manager und SAP Content Server

    SAP Web Dispatcher, Internet Communication Manager (ICM) und SAP Content Server ermöglichen es einem nicht authentifizierten Benutzer, logische Fehler auszunutzen, was zu einer Speicherbeschädigung führen kann. Hierdurch wird die Verfügbarkeit der Anwendung erheblich beeinträchtigt. Vertraulichkeit oder Integrität der Anwendung werden nicht beeinträchtigt.


  • (CVSS 7,1) FI-GL-GL-G

    3672151 [CVE-2025-42876] Fehlende Berechtigungsprüfung in SAP S/4HANA Private Cloud (Finanzwesen: Hauptbuch)

    Aufgrund einer Schwachstelle bezüglich einer fehlenden Berechtigungsprüfung in SAP S/4HANA Private Cloud (Finanzwesen: Hauptbuch) kann ein authentifizierter Angreifer mit einer auf einen einzelnen Buchungskreis beschränkten Berechtigung sensible Daten lesen und Belege buchungskreisübergreifend buchen oder ändern. Eine erfolgreiche Ausnutzung kann in hohem Maße die Vertraulichkeit und in geringem Maße die Integrität der Anwendung beeinträchtigen. Die Verfügbarkeit wird nicht beeinträchtigt.




Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.


Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.


Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!



Impressum        Datenschutz  

© Copyright
bottom of page