Aktuelle SAP® Security News - 6/2025

Willkommen zu den aktuellsten SAP Security News von entplexit. Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren. Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:

(CVSS 9,6) BC-MID-RFC-QT

3600840 [CVE-2025-42989] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP

Die RFC-Eingangsverarbeitung führt nicht die erforderlichen Berechtigungsprüfungen für einen authentifizierten Benutzer durch, was zu einer Rechteausweitung führt. Nach erfolgreicher Ausnutzung könnte sich der Angreifer kritisch auf die Integrität und Verfügbarkeit der Anwendung auswirken.

(CVSS 8,8) GRC-ACP

3609271 [CVE-2025-42982] Offenlegung von Informationen in SAP GRC (AC-Plug-In)

Mit SAP GRC kann ein nicht administrativer Benutzer auf Transaktionen zugreifen und diese aufrufen, was es ihm erlaubt, die übertragenen Systemanmeldeinformationen zu ändern oder zu steuern. Dies hat beträchtliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

(CVSS 8,5) CRM-MW

3606484 [CVE-2025-42983] Fehlende Berechtigungsprüfung in SAP Business Warehouse und SAP Basis Plug-In

SAP Business Warehouse und SAP Basis Plug-In ermöglichen es einem authentifizierten Angreifer, beliebige SAP-Datenbanktabellen zu verwerfen, was unter Umständen einen Datenverlust zur Folge hat oder das System unbrauchbar macht. Nach erfolgreicher Ausnutzung der Schwachstelle kann ein Angreifer Datenbankeinträge vollständig löschen, aber keine Daten lesen.

(CVSS 8,2) BI-BIP-INV

3560693 [CVE-2025-23192] Cross-Site-Scripting-Schwachstelle (XSS) in SAP BusinessObjects Business Intelligence (BI-Arbeitsbereich)

Mit SAP BusinessObjects Business Intelligence (BI-Arbeitsbereich) kann ein nicht authentifizierter Angreifer schädliche Skripte innerhalb eines Arbeitsbereichs erstellen und speichern. Greift das Opfer auf den Arbeitsbereich zu, wird das Skript in seinem Browser ausgeführt, sodass der Angreifer potenziell Zugriff auf sensible Sitzungsinformationen erhält und Browserinformationen ändern oder nicht verfügbar machen kann. Dies hat beträchtliche Auswirkungen auf die Vertraulichkeit, aber nur geringe Auswirkungen auf die Integrität und Verfügbarkeit.

(CVSS 7,6) EP-VC-INF

3610591 [CVE-2025-42977] Directory-Traversal-Schwachstelle in SAP NetWeaver Visual Composer

SAP NetWeaver Visual Composer enthält eine Directory-Traversal-Schwachstelle, die durch eine unzureichende Validierung von Eingabepfaden eines Benutzer mit weitreichenden Berechtigungen verursacht wird. Diese ermöglicht einem Angreifer, beliebige Dateien zu lesen oder zu ändern, was eine hohe Auswirkung auf die Vertraulichkeit und eine geringe Auswirkung auf die Integrität hat.

(CVSS 7,5) MDM-FN-MDS-SEC

3610006 [CVE-2025-42994] Mehrere Schwachstellen in SAP MDM Server

Der vorliegende Sicherheitshinweis behandelt drei Schwachstellen in SAP MDM Server

Speicherbeschädigung [CVE-2025-42994]: Die ReadString-Funktion von SAP MDM Server ermöglicht es einem Angreifer, speziell gestaltete Pakete zu senden, die eine Verletzung des Speicher-Lesezugriffs im Serverprozess auslösen können. Dieser schlägt dann fehl und wird unerwartet beendet, was beträchtliche Auswirkungen auf die Verfügbarkeit, aber keine Auswirkung auf die Vertraulichkeit und Integrität der Anwendung hat.

Speicherbeschädigung [CVE-2025-42995]: Die Read-Funktion von SAP MDM Server ermöglicht es einem Angreifer, speziell gestaltete Pakete zu senden, die eine Verletzung des Speicher-Lesezugriffs im Serverprozess auslösen können. Dieser schlägt dann fehl und wird unerwartet beendet, was beträchtliche Auswirkungen auf die Verfügbarkeit, aber keine Auswirkung auf die Vertraulichkeit und Integrität der Anwendung hat.

Unsicheres Session Management [CVE-2025-42996]: SAP MDM Server ermöglicht es einem Angreifer, die Kontrolle über bestehende Client-Sitzungen zu erlangen und bestimmte Funktionen auszuführen, ohne sich erneut authentifizieren zu müssen. Hierdurch erhält der Angreifer die Möglichkeit, auf nicht sensible Informationen zuzugreifen oder diese zu ändern, oder ausreichende Ressourcen zu verbrauchen, was die Performance des Servers beeinträchtigen und sich in geringem Maße auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirken kann.

Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.

Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!