SAP-Patch-Tag: März 2025
Drei neue Hinweise mit hoher Priorität und ein wichtiger Hinweis zu bewährten Verfahren (CVSS 0.0)
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom März gehören:
- Zusammenfassung für März—25 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter fünf Hinweise mit hoher Priorität
- Transaktion SA38 wurde gepatcht—Die Sicherheitslücke ermöglicht die Ausführung von ABAP-Class-Builder-Funktionen, was erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit hat
- Leitfaden für bewährte Verfahren für SAP BTP—Besondere Aufmerksamkeit ist für Kunden erforderlich, die Java-Anwendungen entwickeln, die mit dem Spring Framework implementiert sind
SAP hat an seinem Patch Day im März 25 SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich fünfHinweise mit hoher Priorität.
Zwei der fünf Sicherheitshinweise mit hoher Priorität sind Aktualisierungen bereits veröffentlichter Patches.
Der SAP-Sicherheitshinweis Nr. 3567974, der mit einem CVSS-Wert von 8,1 versehen ist, wurde ursprünglich am Patch Day im Februar von SAP veröffentlicht und behebt eine Sicherheitslücke im SAP App Router. Der Abschnitt „Symptome“ des Hinweises wurde aktualisiert und es wurde ein FAQ-Hinweis hinzugefügt (Nr. 3571636).
Der SAP-Sicherheitshinweis Nr. 3483344 wurde um Korrekturen für weitere betroffene Softwarekomponenten erweitert. Der Hinweis behebt eine kritische Sicherheitslücke in SAP PDCE, die auf einer fehlenden Berechtigungsprüfung beruht und erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung haben kann.
Die neuen Notizen mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3563927, der mit einem CVSS-Wert von 8,8 bewertet wurde, betrifft eine Vielzahl von SAP-Kunden. Er behebt eine kritische Sicherheitslücke in der Transaktion SA38 eines SAP NetWeaver Application Server ABAP, die den Zugriff auf Funktionen des Class Builders ermöglicht, die eigentlich auf die ABAP Development Workbench beschränkt sein sollten. Bleibt diese Sicherheitslücke ungepatcht, sind alle Anwendungen einem hohen Risiko hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit ausgesetzt.
Der SAP-Sicherheitshinweis Nr. 3569602, der mit einem CVSS-Score von 8,8 versehen ist, behebt eine Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Commerce, die durch die Open-Source-Bibliothek „swagger-ui“ verursacht wurde. Die „Explore“-Funktion von Swagger UI, die für DOM-basierte XSS-Angriffe anfällig war, ermöglicht es einem nicht authentifizierten Angreifer, bösartigen Code aus entfernten Quellen einzuschleusen. Ein erfolgreicher Exploit kann erhebliche negative Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben. Glücklicherweise weist SAP darauf hin, dass der Exploit erhebliche Benutzerinteraktion erfordert, da das Opfer dazu gebracht werden muss, eine bösartige Payload in ein Eingabefeld einzugeben. Als Workaround können Kunden jegliche Verwendung von swagger-ui in SAP Commerce entfernen oder den Zugriff auf Swagger-Konsolen blockieren.
Der SAP-Sicherheitshinweis Nr. 3566851, der mit einem CVSS-Wert von 8,6 versehen ist, behebt eine Denial-of-Service-Schwachstelle (DOS) sowie eine Schwachstelle durch eine ungeprüfte Fehlerbedingung in Cloud SAP Commerce Cloud. Die Anwendung enthält eine Version von Apache Tomcat, die für die Schwachstellen CVE-2024-38286 und CVE-2024-52316 anfällig ist. Der Hinweis enthält Updates mit gepatchten Tomcat-Versionen.
Über den SAP-Sicherheitshinweis mit CVSS 0.0
SAP Security #3576540, das mit einem CVSS-Wert von 0,0 gekennzeichnet ist (nein, das ist kein Tippfehler), enthält Best-Practice-Informationen zu benutzerdefinierten Java-Anwendungen in SAP BTP , die mit dem Spring Framework SAP BTP . Für solche Anwendungen verwenden Entwickler häufig den Spring Boot Activator, ein Tool, das verschiedene URL-Endpunkte bereitstellt, über die Anwendungsdaten in Echtzeit abgerufen werden können, was die Fehlersuche und Überwachung erleichtert. Ohne angemessene Sicherheitsmaßnahmen können diese Endpunkte jedoch schwerwiegende Sicherheitslücken verursachen. Der Hinweis listet die betroffenen Endpunkte detailliert auf und beschreibt die genauen Bedingungen für betroffene Anwendungen.
Zusammenfassung und Schlussfolgerungen
Mit 25 SAP-Sicherheitshinweisen, darunter fünf Hinweise mit hoher Priorität, ist der SAP-Patch-Day im März erneut sehr umfangreich. Es ist der erste Patch-Day, an dem ein Hinweis mit einem CVSS-Wert von 0,0 veröffentlicht wird. SAP BTP werden jedoch zustimmen, dass dieser Hinweis ein perfektes Beispiel dafür ist, dass man sich bei der Priorisierung von SAP-Sicherheitshinweisen nicht nur auf die CVSS-Werte verlassen sollte.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3569602 | Neu | [CVE-2025-27434] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Commerce (Swagger UI) CEC-SCC-COM-BC-BCOM | Hoch | 8.8 |
| 3563927 | Neu | [CVE-2025-26661] Fehlende Berechtigungsprüfung in SAP NetWeaver (ABAP Class Builder) BC-DWB-TOO-CLA | Hoch | 8.8 |
| 3566851 | Neu | [CVE-2024-38286] Mehrere Sicherheitslücken in Apache Tomcat innerhalb der SAP Commerce Cloud CEC-SCC-COM-BBA-COM | Hoch | 8.6 |
| 3567974 | Aktualisierung | [CVE-2025-24876] Umgehung der Authentifizierung durch Einfügen eines Autorisierungscodes in SAP Approuter BC-XS-APR | Hoch | 8.1 |
| 3483344 | Aktualisierung | [CVE-2024-39592] Fehlende Autorisierungsprüfung in der SAP-PDCE- -FIN-BA | Hoch | 7.7 |
| 3561045 | Neu | [CVE-2025-26658] Sicherheitslücke bei der Authentifizierung in SAP Business One (Service Layer) SBO-CRO-SEC | Mittel | 6.8 |
| 3552824 | Neu | [CVE-2025-26659] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von SAP GUI for HTML) BC-FES-WGU | Mittel | 6.1 |
| 3562390 | Neu | [CVE-2025-25242] Cross-Site-Scripting (XSS) im SAP NetWeaver Application Server,ABAP- , BC-FES-WGU | Mittel | 6.1 |
| 3552144 | Neu | [CVE-2025-25244] Fehlende Berechtigungsprüfung in SAP Business Warehouse (Prozessketten) BW-WHM-DST-PC | Mittel | 5.7 |
| 3557469 | Neu | [CVE-2025-25245] Cross-Site-Scripting-Sicherheitslücke (XSS) in Platform SAP BusinessObjects Business Intelligence Platform Web Intelligence) BI-RA-WBI-FE-HTM | Mittel | 5.4 |
| 3567246 | Neu | [CVE-2025-27431] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application ServerJava- , BC-WD-UR | Mittel | 5.4 |
| 3561792 | Neu | [CVE-2025-23194] Fehlende Authentifizierungsprüfung im SAP NetWeaver Enterprise Portal (OBN-Komponente) EP-PIN-OBN | Mittel | 5.3 |
| 3558132 | Neu | [CVE-2025-0071] Sicherheitslücke durch Offenlegung von Informationen im SAP Web Dispatcher und im Internet Communication Manager BC-CST-IC | Mittel | 4.9 |
| 3557459 | Neu | [CVE-2025-0062] Cross-Site-Scripting-Sicherheitslücke (XSS) in Platform SAP BusinessObjects Business Intelligence Platform Web Intelligence) BI-RA-WBI-FE-HTM | Mittel | 4.7 |
| 3474392 | Neu | [CVE-2025-26656] Fehlende Berechtigungsprüfung in S/4HANA (Verwaltung von Einkaufsinfosätzen) MM-FIO-PUR-IR | Mittel | 4.3 |
| 3565835 | Neu | [CVE-2025-27433] Control durch fehlerhafte Control in SAP S/4HANA (Kontoauszüge verwalten) FI-FIO-AR-PAY | Mittel | 4.3 |
| 3557655 | Neu | [CVE-2025-26660] Fehlerhafte Control SAP-Fiori-Anwendungen (Buchungsbibliothek) FI-FIO-GL-TRA | Mittel | 4.3 |
| 3557131 | Neu | [CVE-2025-23188] Fehlende Autorisierungsprüfung in SAP S/4HANA (RBD) FS-RBD | Mittel | 4.3 |
| 3475427 | Aktualisierung | [CVE-2024-41736] Sicherheitslücke durch Offenlegung von Informationen im SAP-Arbeitsgenehmigungs- us PM-FIO-WCM | Mittel | 4.3 |
| 3549494 | Neu | [CVE-2025-23185] Offenlegung von Informationen in Platform SAP Business Objects Business Intelligence Platform BI-BIP-LCM | Mittel | 4.1 |
| 3562415 | Neu | [CVE-2024-38819] Mehrere Sicherheitslücken im Spring Framework in SAP Commerce Cloud SAP Datahub CEC-SCC-PLA-PL | Niedrig | 3.7 |
| 3561861 | Neu | [CVE-2025-27430] Server-Side Request Forgery (SSRF) in SAP CRM und SAP S/4 HANA (Interaction Center) CRM-IC-BF | Niedrig | 3.5 |
| 3347991 | Neu | [CVE-2025-26655] Fehlende Autorisierungsprüfung in SAP JIT (Ausgang) IS-A-JIT | Niedrig | 3.1 |
| 3568865 | Neu | [CVE-2025-27432] Fehlende Autorisierungsprüfung in SAP Electronic Invoicing für Brasilien (eDocument Cockpit) CA-GTF-CSC-EDO | Niedrig | 2.4 |
| 3576540 | Neu | Open-Source-Sicherheitshinweis: Bewährte Verfahren zur Absicherung von Spring Boot Actuator-Endpunkten für Anwendungen, die auf BTP laufen BC-CP-CF-CRTM | Niedrig | 0.0 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defenders Digest Onapsis“-Newsletter auf LinkedIn.