Aktuelle SAP® Security News - 9/2025

Willkommen zu den aktuellsten SAP Security News von entplexit.

Jeden Monat informiert SAP am Patchday über die neuesten Sicherheitslücken und deren Bewertungen anhand des CVSS (Common Vulnerability Scoring System). Diese Bewertungen reichen von 1 bis 10, wobei 10 die kritischste Stufe darstellt.

Wir möchten Sie hier auf einige aktualisierte Hinweise aufmerksam machen, die einen CVSS-Wert von über 7 aufweisen. Sicherheitslücken können erhebliche Auswirkungen auf Ihr SAP-System haben, da sie Angreifern die Möglichkeit geben, das System zu kompromittieren.

Die spezifischen Auswirkungen sind in den jeweiligen SAP-Hinweisen detailliert beschrieben:

• (CVSS 10) BC-JAS-COR-RMT

  3634501 [CVE-2025-42944] Insecure Deserialization vulnerability in SAP Netweaver (RMI-P4)

  Aufgrund einer Deserialisierungsschwachstelle in SAP NetWeaver kann ein nicht authentifizierter Angreifer das System über das RMI-P4-Modul ausnutzen, indem er eine schädliche Payload an einen offenen Port sendet. Die Deserialisierung derartiger nicht vertrauenswürdiger Java-Objekte kann die beliebige Ausführung von Betriebssystembefehlen zur Folge haben, was sich in hohem Maße auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirkt.

  
  

• (CVSS 9,9) BC-JAS-DPL

  3643865 [CVE-2025-42922] Insecure File Operations vulnerability in SAP NetWeaver AS Java (Deploy Web Service)

  Mit SAP NetWeaver AS Java kann ein Angreifer, der sich als nicht administrativer Benutzer authentifiziert hat, eine Schwachstelle in einem verfügbaren Service ausnutzen, um eine beliebige Datei hochzuladen. Wird diese Datei ausgeführt, kann dies zu einer vollständigen Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen.

  
  

• (CVSS 9,6) BC-DOC-RIT (Update)

  3302162 [CVE-2023-27500] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform

  Ein Angreifer mit nicht administrativen Berechtigungen kann einen Directory-Traversal-Fehler im Programm SAPRSBRO ausnutzen, um Systemdateien zu überschreiben. Bei diesem Angriff können keine Daten gelesen werden, aber potenziell kritische Betriebssystemdateien können überschrieben werden, sodass das System nicht verfügbar ist.

  
  

• (CVSS 9,1) BC-OP-AS4

  3627373 [CVE-2025-42958] Missing Authentication check in SAP NetWeaver

  Aufgrund einer fehlenden Authentifizierungsprüfung in der SAP-NetWeaver-Anwendung auf IBM i-series ermöglicht die Anwendung Benutzern mit hohen Berechtigungen, sensible Informationen zu lesen, zu ändern oder zu löschen sowie auf administrative oder privilegierte Funktionen zuzugreifen. Dies hat schwerwiegende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

  
  

• (CVSS 8,8) SBO-BC-SLD

  3642961 [CVE-2025-42933] Insecure Storage of Sensitive Information in SAP Business One (SLD)

  Wenn sich ein Benutzer über den nativen SAP-Business-One-Client anmeldet, kann der SLD-Backend-Service die ordnungsgemäße Verschlüsselung bestimmter APIs nicht erzwingen, was dazu führt, dass sensible Anmeldeinformationen im HTTP-Response-Body exponiert werden. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

  
  

• (CVSS 8,1) CA-DT-CNV-BAS

  3635475 [CVE-2025-42916] Missing input validation vulnerability in SAP S/4HANA (Private Cloud or On-Premise)

  Aufgrund einer fehlenden Eingabevalidierung kann ein Angreifer mit hoher Berechtigung den Inhalt beliebiger Datenbanktabellen löschen, wenn die Tabellen nicht durch eine Berechtigungsgruppe geschützt sind. Dies wirkt sich in hohem Maße auf die Integrität und Verfügbarkeit der Datenbank aus. Die Vertraulichkeit ist nicht betroffen.

  
  

• (CVSS 8,1) CA-LT-OBT

  3633002 [CVE-2025-42929] Missing input validation vulnerability in SAP Landscape Transformation Replication Server

  Aufgrund einer fehlenden Eingabevalidierung kann ein Angreifer mit hoher Berechtigung den Inhalt beliebiger Datenbanktabellen löschen, wenn die Tabellen nicht durch eine Berechtigungsgruppe geschützt sind. Dies wirkt sich in hohem Maße auf die Integrität und Verfügbarkeit der Datenbank aus.

  
  

• (CVSS 7,7) SV-SMG-SDD (Update)

  3581811 [CVE-2025-27428] Directory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection)

  Aufgrund einer Directory-Traversal-Schwachstelle kann ein autorisierter Angreifer über einen RFC-fähigen Funktionsbaustein Zugriff auf einige kritische Informationen erhalten. Nach erfolgreicher Ausnutzung konnten sie Dateien aus jedem verwalteten System lesen, das mit SAP Solution Manager verbunden ist, was sich stark auf die Vertraulichkeit auswirkt. Es gibt keine Auswirkungen auf die Integrität oder Verfügbarkeit.

Unterstützung und Kontakt

Eine automatisierte und zielgerichtete Bewertung der Relevanz der Hinweise ist mithilfe des „System Recommendations Service“ möglich.

Benötigen Sie mehr Informationen, Hilfe bei der Analyse Ihrer Systemlandschaft oder bei der Umsetzung der Patch-Einspielung? Unser SAP-Experte Carsten Linz steht Ihnen gerne zur Verfügung. Vereinbaren Sie jetzt direkt online einen kostenfreien Termin oder kontaktieren Sie uns unkompliziert per Mail oder telefonisch.

Um auch wirklich kein SAP-Sicherheitsupdate mehr zu verpassen, folgen Sie uns doch auf LinkedIn und melden Sie sich zu unserem monatlichen Patchday-Newsletter an!