Aktuelle SAP® Security News - 5/2025

Willkommen zu den aktuellsten SAP Security News von entplexit. Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren. Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:

(CVSS 10) EP-VC-INF

3594142 [CVE-2025-31324] Fehlende Berechtigungsprüfung in SAP NetWeaver (Visual Composer Development Server)

Der Metadaten-Uploader von SAP NetWeaver Visual Composer ist nicht mit einer entsprechenden Berechtigung geschützt, wodurch ein nicht authentifizierter Agent potenziell schädliche ausführbare Binärdateien hochladen kann, die das Hostsystem schwer beschädigen. Es ist eine weitere Korrektur erforderlich, um Ihr System zu sichern. Unabhängig davon, ob sie bereits den SAP-Hinweis 3594142 eingebaut haben, sollten alle Kunden auch den Sicherheitshinweis 3604119 einbauen. könnten. Dies könnte die Vertraulichkeit, Integrität und Verfügbarkeit des Zielsystems erheblich beeinträchtigen. Es ist eine weitere Korrektur erforderlich, um Ihr System zu sichern. Unabhängig davon, ob sie bereits den SAP-Hinweis 3594142 eingebaut haben, sollten alle Kunden auch den Sicherheitshinweis 3604119 einbauen.

(CVSS 9,1) EP-VC-INF

3604119 [CVE-2025-42999] Unsichere Deserialisierung in SAP NetWeaver (Visual Composer Development Server)

Der Metadaten-Uploader von SAP NetWeaver Visual Composer weist insofern eine Schwachstelle auf, dass ein privilegierter Benutzer nicht vertrauenswürdige oder schädliche Inhalte hochladen kann, die bei der Deserialisierung unter Umständen zu einer Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des Hostsystems führen können.

Anmerkung: Kunden, die den Sicherheitshinweis 3594142 eingebaut haben, sollten auch den vorliegenden Sicherheitshinweis (3604119) einbauen.

(CVSS 8,6) SRM-LA

3578900 [CVE-2025-30018] Mehrere Schwachstellen in SAP Supplier Relationship Management (Live Auction Cockpit)

Im vorliegenden Sicherheitshinweis werden fünf Schwachstellen in SAP Supplier Relationship Management (SRM) behandelt. Detaillierte Informationen zu den einzelnen Schwachstellen sowie die relevanten CVE- und CVSS-Informationen finden Sie im vorliegenden Hinweis

(CVSS 8,3) SCM-BAS-MDL

3600859 [CVE-2025-43010] Code injection vulnerability in SAP S/4HANA Cloud Private Edition or On Premise(SCM Master Data Layer (MDL)

SAP S/4HANA Cloud Private Edition oder On-Premise (SCM Master Data Layer (MDL)) ermöglicht einem authentifizierten Angreifer mit SAP-Standardberechtigung, einen bestimmten Funktionsbaustein remote auszuführen und beliebige ABAP-Programme, einschließlich SAP-Standardprogramme, zu ersetzen. Das Problem wird durch eine fehlende Eingabevalidierung und keine Berechtigungsprüfungen verursacht. Dies hat geringe Auswirkungen auf die Vertraulichkeit, aber hohe Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

(CVSS 7,9) BI-BIP-LCM

3586013 [CVE-2025-43000] Information Disclosure Vulnerability in SAP Business Objects Business Intelligence Platform (PMW)

Unter bestimmten Bedingungen gestattet der Hochstufungsverwaltungs-Assistent einem Angreifer den normalerweise eingeschränkten Zugriff auf Informationen. Dies hat geringe Auswirkungen auf die Vertraulichkeit, aber keinerlei Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

(CVSS 7,7) CA-LT-PCL

3591978 [CVE-2025-43011] Missing Authorization Check in SAP Landscape Transformation (PCL Basis)

Unter bestimmten Bedingungen führt das PCL-Basis-Modul von SAP Landscape Transformation nicht die erforderlichen Berechtigungsprüfungen durch, sodass authentifizierte Benutzer auf eingeschränkte Funktionen oder Daten zugreifen können. Dies kann große Auswirkungen auf die Vertraulichkeit der Anwendung haben, wirkt sich aber nicht auf deren Integrität oder Verfügbarkeit aus.

Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.

Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!