SAP-Sicherheitshinweise: Patch-Tag im April 2025
Kritische Sicherheitslücke durch Code-Injection in SAP System Landscape Transformation (SLT) und S/4HANA
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom April gehören:
- Zusammenfassung für April — Zwanzig neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter drei Hot News Notes und fünf High Priority Notes
- SAP-Hot-News-Hinweise — RFC -fähiges Funktionsmodul ermöglicht das Einfügen von beliebigem ABAP-Code
- Onapsis Research Labs — Unser Team hat SAP dabei unterstützt, zwei Sicherheitslücken zu beheben, darunter eine mit der Prioritätsstufe „Hoch“.
SAP hat im Rahmen seines „Patch Day“ im April zwanzig neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter drei „Hot News“-Hinweise und fünf Hinweise mit hoher Priorität. Zwei der siebzehn neuen Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.
Die aktuellen Nachrichten im Detail
Die beiden SAP-Sicherheitshinweise Nr . 3587115 und Nr. 3581961, die mit einem CVSS-Score von 9,9 bewertet sind, beheben eine sehr kritische Code-Injection-Sicherheitslücke, die es einem Angreifer ermöglicht, aus der Ferne beliebigen ABAP-Code in einem System zu generieren. Während der erste Hinweis das optionale Add-On „SAP Data Migration Server“ (DMIS) in SAP ECC betrifft, behebt der zweite Hinweis dieselbe Sicherheitslücke in S/4HANA. Beide Patches deaktivieren denselben remote-fähigen Funktionsbaustein. Ohne Patch akzeptiert der Funktionsbaustein beliebigen Text als Eingabeparameter und generiert anhand dieser Eingabe mithilfe der Anweisung INSERT REPORT einen ABAP-Bericht. Für einen erfolgreichen Exploit ist lediglich die Berechtigung S_RFC für den jeweiligen Funktionsbaustein oder die entsprechende Funktionsgruppe erforderlich.
Der SAP-Sicherheitshinweis Nr. 3572688, der mit einem CVSS-Wert von 9,8 bewertet wurde, behebt eine Sicherheitslücke in der SAP-Finanzkonsolidierung, die eine Umgehung der Authentifizierung ermöglicht. Aufgrund eines fehlerhaften Authentifizierungsmechanismus können sich nicht authentifizierte Angreifer als Administrator ausgeben, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat.
Die Notizen mit hoher Priorität im Detail
Das Team Onapsis Research Labs ORL) hat zur Behebung einer Sicherheitslücke im Zusammenhang mit „Mixed Dynamic RFC Destination“ im NetWeaver Application Server ABAP beigetragen. Das ORL-Team stellte fest, dass der Patch für eine Sicherheitslücke, die zu einer Offenlegung von Informationen führen kann und im Dezember 2024 in der SAP-Sicherheitsnotiz Nr. 3469791 bereitgestellt wurde, umgangen werden konnte. Die SAP-Sicherheitsnotiz Nr. 3554667, die mit einem CVSS-Score von 8,5 versehen ist, schließt diese Lücke nun. Kunden, die die Abhilfe für den Dezember-Hinweis durch die Einstellung des Profilparameters rfc/dynamic_dest_api_only auf 1 angewendet haben, sind von der Sicherheitslücke nicht betroffen. Dennoch empfehlen wir dringend, den mit dem SAP-Sicherheitshinweis Nr . 3554667 bereitgestellten Kernel-Patch zu implementieren, da die Abhilfe unerwartete Nebenwirkungen auf SAP-Standardanwendungen haben könnte.
Der SAP-Sicherheitshinweis Nr. 3525794, der mit einem CVSS-Wert von 8,8 versehen ist, ist eine aktualisierte Version eines Hinweises, der ursprünglich im Februar 2025 veröffentlicht wurde. Der Hinweis behebt eine Sicherheitslücke aufgrund einer fehlerhaften Autorisierung in platform SAP BusinessObjects Business platform. Das Update enthält einige geringfügige Textanpassungen sowie Änderungen am CVSS-Vektor.
Der SAP-Sicherheitshinweis Nr. 3590984 ist mit einem CVSS-Wert von 8,1 versehen und behebt eine „Time-of-Check-Time-of-Use“ (TOCTOU)-Race-Condition-Sicherheitslücke in Cloud SAP Commerce Cloud. Das Problem besteht, weil die SAP Commerce Cloud Versionen von Apache Tomcat Cloud , die für CVE-2024-56337 anfällig sind. SAP gibt an, dass „SAP Commerce Cloud im Standardzustand nicht ausnutzbar Cloud “, da ein erfolgreicher Angriff von einer Serverkonfiguration abhängt, die außerhalb der control des Angreifers liegt. Der Hinweis listet insgesamt drei Bedingungen auf, die erfüllt sein müssen, wobei keine davon standardmäßig zutrifft. Dennoch wird ein Patch dringend empfohlen, da ein anfälliges Szenario zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen könnte.
Der SAP-Sicherheitshinweis Nr. 3581811 betrifft den SAP NetWeaver Application Server ABAP und Platform. Der Hinweis ist mit einem CVSS-Wert von 7,7 versehen und behebt eine Verzeichnisüberlauf-Sicherheitslücke. Der betroffene, für den Fernzugriff freigegebene Funktionsbaustein wurde durch die Implementierung mehrerer Sicherheitsmaßnahmen verbessert. Neben einer erweiterten Berechtigungsprüfung werden nun einige sensible Verzeichnisse ausdrücklich ausgeschlossen und relative Pfadnamen abgelehnt.
Eine weitere Sicherheitslücke im Zusammenhang mit Verzeichnisüberquerung, die ebenfalls mit einem CVSS-Wert von 7,7 bewertet wurde, wird durch den SAP-Sicherheitshinweis Nr . 2927164 behoben. Diese Sicherheitslücke betrifft SAP Capital Yield Tax Management und ermöglicht es einem Angreifer mit geringen Berechtigungen, Dateien aus Verzeichnissen zu lesen, auf die er sonst keinen Zugriff hätte.
Beitrag von Onapsis
Neben dem SAP-Sicherheitshinweis Nr . 3554667 mit hoher Priorität hat das Team Onapsis Research Labs ORL) dazu beigetragen, eine Sicherheitslücke im SAP KMC WPC zu schließen, die zur Offenlegung von Informationen führen konnte.
Der SAP-Sicherheitshinweis Nr. 3568307, der mit einem CVSS-Wert von 5,3 bewertet wurde, behebt das Problem. Bleibt die Schwachstelle ungepatcht, können sich nicht authentifizierte Angreifer aus der Ferne eine Parameterabfrage starten, um Benutzernamen abzurufen, wodurch sensible Informationen offengelegt werden könnten, was geringe Auswirkungen auf die Vertraulichkeit der Anwendung hat.
Zusammenfassung und Schlussfolgerungen
Mit zwanzig SAP-Sicherheitshinweisen, darunter drei „Hot News“-Hinweise und fünf Hinweise mit hoher Priorität, ist der SAP-Patch-Day im April besonders umfangreich. Wir sind glücklich und stolz darauf, dass unser Team von den Onapsis Research Labs erneut dazu beitragen Onapsis Research Labs , SAP-Kunden auf der ganzen Welt zu schützen.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3587115 | Neu | [CVE-2025-31330] Sicherheitslücke durch Code-Injektion in SAP Landscape Transformation (Analysis Platform) CA-LT-ANA | Aktuelles | 9.9 |
| 3581961 | Neu | [CVE-2025-27429] Sicherheitslücke durch Code-Injektion in SAP S/4HANA (Private Cloud) CA-LT-ANA | Aktuelles | 9.9 |
| 3572688 | Neu | [CVE-2025-30016] Sicherheitslücke durch Umgehung der Authentifizierung in SAP Financial Consolidation EPM-BFC-TCL-ADM-SEC | Aktuelles | 9.8 |
| 3525794 | Aktualisierung | [CVE-2025-0064] Unsachgemäße Autorisierung in platform SAP BusinessObjects Business Intelligence platform BI-BIP-AUT | Hoch | 8.8 |
| 3554667 | Neu | [CVE-2025-23186] Sicherheitslücke bei gemischten dynamischen RFC-Zielen durch Remote Function Call (RFC) im SAP NetWeaver Application Server ABAP- BC-MID-RFC | Hoch | 8.5 |
| 3590984 | Neu | [CVE-2024-56337] Sicherheitslücke durch eine „Time-of-Check-Time-of-Use“-Wettlaufbedingung (TOCTOU) in Apache Tomcat innerhalb der SAP Commerce Cloud CEC-SCC-CDM-CKP-COR | Hoch | 8.1 |
| 3581811 | Neu | [CVE-2025-27428] Verzeichnisüberquerungs-Sicherheitslücke in SAP NetWeaver und Platform AP Platform Service Data Collection) SV-SMG-SDD | Hoch | 7.7 |
| 2927164 | Neu | [CVE-2025-30014] Verzeichnisüberquerungs-Sicherheitslücke in der SAP-Anwendung „Capital Yield Tax Management“ ( , FS-CYT) | Hoch | 7.7 |
| 3543274 | Neu | [CVE-2025-26654] Mögliche Sicherheitslücke mit Informationspreisgabe in SAP Commerce Cloud Public Cloud) CEC-SCC-CLA-ENV-NWC | Mittel | 6.8 |
| 3571093 | Neu | [CVE-2025-30013] Sicherheitslücke durch Code-Injektion im SAP-ERP-BW-Business-Content- BW-BCT-WEB | Mittel | 6.7 |
| 3565751 | Neu | [CVE-2025-31332] Sicherheitslücke aufgrund unsicherer Dateiberechtigungen in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-INS | Mittel | 6.6 |
| 3568307 | Neu | [CVE-2025-26657] Sicherheitslücke durch Offenlegung von Informationen in SAP KMC WPC EP-KM-CM | Mittel | 5.3 |
| 3559307 | Neu | [CVE-2025-26653] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von SAP GUI for HTML) BC-FES-WGU | Mittel | 4.7 |
| 3558864 | Neu | [CVE-2025-30017] Fehlende Berechtigungsprüfung in SAP Solution Manager SV-SMG-IMP | Mittel | 4.4 |
| 3525971 | Aktualisierung | [CVE-2025-31333] Manipulation von OData-Metadaten im SAP-S4CORE-Entity- : PP-PI-MD-PRV | Mittel | 4.3 |
| 3577131 | Neu | [CVE-2025-31331] Sicherheitslücke durch Umgehung der Autorisierung in SAP NetWeaver CA-GTF-TS-GMA | Mittel | 4.3 |
| 3568778 | Neu | [CVE-2025-27437] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server ABAP (Virus Scan Interface) BC-SEC-VIR | Mittel | 4.3 |
| 3539465 | Neu | [CVE-2025-27435] Sicherheitslücke durch Offenlegung von Informationen in SAP Commerce Cloud CEC-SCC-COM-PRO-CUC | Mittel | 4.2 |
| 3565944 | Neu | [CVE-2025-30015] Sicherheitslücke durch Speicherbeschädigung in SAP NetWeaver und Platform AP Platform ABAP-Anwendungsserver) BC-DB-DBI | Mittel | 4.1 |
| 3561861 | Aktualisierung | [CVE-2025-27430] Server-Side Request Forgery (SSRF) in SAP CRM und SAP S/4 HANA (Interaction Center) CRM-IC-BF | Niedrig | 3.5 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defenders Digest Onapsis“-Newsletter auf LinkedIn.