top of page
Suche

Aktuelle SAP® Security News - 7/2025

  • kseybold8
  • 8. Juli
  • 3 Min. Lesezeit

Willkommen zu den aktuellsten SAP Security News von entplexit. Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.


ree

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren. Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:


(CVSS 10) SRM-LA - Update

Der Hinweis behandelt fünf Schwachstellen in SAP Supplier Relationship Management (SRM). Detaillierte Informationen zu den einzelnen Schwachstellen sowie die relevanten CVE- und CVSS-Informationen finden sich im Hinweis.


(CVSS 9,9) SCM-APO-PPS

Die Merkmalspropagierung in SAP S/4HANA und SAP SCM weist eine Remote-Code-Ausführungs-Schwachstelle auf. Dadurch kann ein Angreifer mit hohen Berechtigungen einen neuen Report mit eigenem Code erstellen und möglicherweise die vollständige Kontrolle über das betroffene SAP-System erlangen, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat.


(CVSS 9,1) EP-PIN-FPN

Das Portal im Verbund von SAP NetWeaver Enterprise Portal ist anfällig, wenn ein privilegierter Benutzer nicht vertrauenswürdige oder schädliche Inhalte hochladen kann, die bei der Deserialisierung möglicherweise zu einer Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Hostsystems führen können.



(CVSS 9,1) BC-PIN-PCD

Die Administration von SAP NetWeaver Enterprise Portal ist anfällig, wenn ein privilegierter Benutzer nicht vertrauenswürdige oder schädliche Inhalte hochladen kann, die bei der Deserialisierung möglicherweise zu einer Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Hostsystems führen können.


(CVSS 9,1) BC-JAS-ADM-LOG

Eine kritische Schwachstelle in SAP NetWeaver Application Server für Java Log Viewer ermöglicht es authentifizierten Administratorbenutzern, eine unsichere Deserialisierung von Java-Objekten auszunutzen. Eine erfolgreiche Ausnutzung kann zu einem vollständigen Betriebssystemkompromiss führen und Angreifern die vollständige Kontrolle über das betroffene System gewähren. Dies hat schwerwiegende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendungs- und Hostumgebung.


(CVSS 9,1) BC-ILM-DAS

Mit dem SAP NetWeaver XML Data Archiving Service kann ein authentifizierter Angreifer mit Administratorrechten eine unsichere Java-Deserialisierungsschwachstelle ausnutzen, indem er ein speziell gestaltetes serialisiertes Java-Objekt sendet. Dies kann zu großen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung führen.


(CVSS 8,1) BC-CCM-CNF-OPM

SAP NetWeaver System Configuration führt nicht die erforderlichen Berechtigungsprüfungen für einen authentifizierten Benutzer durch, was zu einer Rechteausweitung führt. Dies könnte die Integrität und Verfügbarkeit vollständig gefährden, ohne dass die Vertraulichkeit des Systems beeinträchtigt wird.


(CVSS 8,1) BC-MID-RFC

Ein nicht authentifizierter Angreifer kann ein Szenario ausnutzen, in dem ein HMAC-Credential (Hashed Message Authentication Code), das aus einem System extrahiert wurde, in dem spezifische Sicherheitspatches fehlen, in einem Replay-Angriff gegen ein anderes System wiederverwendet wird. Selbst wenn das Zielsystem vollständig gepatcht ist, kann eine erfolgreiche Ausnutzung zu vollständigen Systemkompromittierungen führen, was sich auf die Vertraulichkeit, Integrität und Verfügbarkeit auswirkt.


(CVSS 8) BI-BIP-CMC

Die SAP-BusinessObjects-Business-Intelligence-Plattform (CMC) verwendet eine ältere Version von Apache Struts, die die Schwachstelle CVE-2024-53677 aufweist.


(CVSS 7,7) CRM-MW-ADP

Mit SAP Business Warehouse und der SAP-Plug-In-Basis kann ein authentifizierter Angreifer Felder zu beliebigen SAP-Datenbanktabellen und/oder -Strukturen hinzufügen, wodurch das System möglicherweise unbrauchbar wird. Nach erfolgreicher Ausnutzung kann ein Angreifer das System unbrauchbar machen, indem er bei der Anmeldung Kurzdumps auslöst. Dies kann zu hohen Auswirkungen auf die Verfügbarkeit führen. Datenvertraulichkeit und -integrität bleiben unberührt. Es können keine Daten gelesen, geändert oder gelöscht werden.


Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.


Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.


Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!



Impressum        Datenschutz  

© Copyright
bottom of page