SAP-Sicherheitshinweise: Patch-Tag im August 2025
Kritische Sicherheitslücke durch Code-Injection in SAP S/4HANA und SAP Landscape Transformation
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom August gehören:
- Zusammenfassung für August – 26 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und drei Hinweise mit hoher Priorität.
- Zwei neue HotNews-Meldungen – Eine Code -Injection-Sicherheitslücke in einem remote-fähigen SAP-Funktionsbaustein ermöglicht die Einschleusung von beliebigem Code.
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, fünf Sicherheitslücken zu beheben, die in vier SAP-Sicherheitshinweisen behandelt wurden.
SAP hat an seinem Patch Day im August 26 SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Darunter befinden sich vier HotNews-Hinweise sowie drei Hinweise mit hoher Priorität.
Die neuen HotNews-Notizen im Detail
Der SAP-Sicherheitshinweis Nr. 3627998, der mit einem CVSS-Wert von 9,9 bewertet wurde, behebt eine kritische Code-Injection-Sicherheitslücke in S/4HANA (Private Cloud On-Premise). Die kritische Schwachstelle besteht in einem remote-fähigen SAP-Funktionsbaustein und ermöglicht es Angreifern, beliebigen Code in das System einzuschleusen. Bleibt die Schwachstelle ungepatcht, riskieren Kunden eine vollständige Kompromittierung des Systems, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit des Systems einem sehr hohen Risiko ausgesetzt sind.
Der SAP-Sicherheitshinweis Nr. 3633838 befasst sich mit derselben Code-Injection-Sicherheitslücke für SAP-ECC-Kunden, die das Add-on „Data Migration Server“ (DMIS) in der Version 2011_1_700 oder höher installiert haben.
Den beiden HotNews- Meldungen sind FAQ-Hinweise beigefügt, die weitere Informationen zu den betroffenen Versionen und möglichen Nebenwirkungen enthalten.
Die beiden übrigen HotNews-Hinweise, die SAP-Sicherheitshinweise Nr . 3581961 und Nr. 3610892, enthalten aktualisierte Informationen:
Der SAP-Sicherheitshinweis Nr. 3581961, der mit einem CVSS-Score von 9,9 bewertet wurde, behebt eine Code-Injection-Sicherheitslücke in SAP S/4HANA (Private Cloud On-Premise). SAP hat den Abschnitt „Support-Pakete und Patches“ um weitere Informationen ergänzt.
Der SAP-Sicherheitshinweis Nr. 3610892, der mit einem CVSS-Wert von 9,1 bewertet wurde, wurde ursprünglich am SAP-Patch-Day im Juli in Zusammenarbeit mit Onapsis veröffentlicht. SAP hat eine Übergangslösung für Kunden bereitgestellt, die das entsprechende Support-Package-Patch-Level noch nicht installieren können. Es wird empfohlen, den betroffenen Dienst zu beenden und einen Startfilter hinzuzufügen, um zu verhindern, dass er beim nächsten Systemneustart automatisch gestartet wird.
Die neuen Notizen mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3625403, der mit einem CVSS-Wert von 8,8 versehen ist, behebt eine Sicherheitslücke im Zusammenhang mit einer fehlerhaften Autorisierung in SAP Business One (SLD). Normale Business One-Benutzer, die über den nativen SAP Business One-Client angemeldet sind, können eine API aufrufen, die eigentlich nur für Administratoren bestimmt ist. Dadurch könnten sie Administratorrechte erlangen, die im Falle eines böswilligen Benutzers dazu genutzt werden könnten, die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung zu beeinträchtigen.
Die Onapsis Research Labs ORL) unterstützten SAP bei der Behebung von zwei Sicherheitslücken in der Anwendung „Business Information Collection (BIC) Document“ eines SAP NetWeaver Application Server ABAP. Die ORL stellten fest, dass ein authentifizierter Angreifer speziell gestaltete Anfragen an die Anwendung senden kann, die einen Speicherbeschädigungsfehler verursachen könnten. Das mehrfache Senden solcher Anfragen kann dazu führen, dass das Ziel vollständig nicht mehr erreichbar ist. Darüber hinaus können Anfragen auch so manipuliert werden, dass ein Lesevorgang außerhalb des zulässigen Bereichs durchgeführt wird, wodurch sensible Informationen, die im Speicher geladen sind, offengelegt werden. Die Schwachstelle ist mit einem CVSS-Score von 8,1 bewertet und wird von SAP mit dem SAP-Sicherheitshinweis Nr. 3611184 behoben.
Derselbe Hinweis behebt eine Reflected-Cross-Site-Scripting-Schwachstelle in der Anwendung, die mit einem CVSS-Score von 6,1 bewertet wurde. Das ORL stellte fest, dass die BIC-Document-Anwendung es einem nicht authentifizierten Angreifer ermöglicht, einen URL-Link zu erstellen, der beim Aufruf ein bösartiges Skript einbettet. Wenn ein Opfer auf diesen Link klickt, wird das Skript im Browser des Opfers ausgeführt, wodurch der Angreifer auf Informationen im Zusammenhang mit dem Web-Client zugreifen und/oder diese ändern kann, ohne die Verfügbarkeit zu beeinträchtigen.
Wir empfehlen außerdem, den aktualisierten Hinweis mit hoher Priorität Nr . 3600846 zu lesen, der mit einem CVSS-Wert von 8,1 gekennzeichnet ist. SAP hat einen weiteren HMAC-Schlüssel hinzugefügt, der möglicherweise neu generiert werden muss, um die Sicherheitslücke zu beheben.
Beitrag von Onapsis zum „
“ Erneut konnten die Onapsis Research Labs ORL) einen wesentlichen Beitrag zum SAP „Patch Day“ leisten. Das Team unterstützte SAP bei der Behebung von fünf Sicherheitslücken, die in vier SAP-Sicherheitshinweisen behandelt wurden.
Zusätzlich zu den beiden Sicherheitslücken, die von SAP mit dem Sicherheitshinweis Nr . 3611184( hohe Priorität ) behoben wurden, wurden in Zusammenarbeit mit dem ORL-Team die folgenden SAP-Sicherheitshinweise veröffentlicht:
Der SAP-Sicherheitshinweis Nr. 3629871, der mit einem CVSS-Wert von 6,1 versehen ist, behebt eine Cross-Site-Scripting-Sicherheitslücke in Platform SAP NetWeaver Platform. Die Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, einen bösartigen Link zu generieren und diesen öffentlich zugänglich zu machen. Wenn ein authentifizierter Benutzer auf diesen Link klickt, wird die eingeschleuste Eingabe bei der Seitengenerierung der Website verarbeitet, was zur Erstellung bösartiger Inhalte führt. Wenn diese bösartigen Inhalte ausgeführt werden, könnte der Angreifer die Möglichkeit erhalten, auf Informationen im Rahmen des Browsers des Opfers zuzugreifen und diese zu verändern, was geringe Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat.
Der SAP-Sicherheitshinweis Nr. 3597355, der mit einem CVSS-Wert von 6,1 versehen ist, behebt eine ähnliche Cross-Site-Scripting-Sicherheitslücke im SAP NetWeaver Application Server für ABAP. Der wesentliche Unterschied besteht darin, dass der Angreifer hier keine Authentifizierung benötigt, um den Schadcode auszuführen.
Der SAP-Sicherheitshinweis Nr. 3601480 mit einem CVSS-Score von 4,1 behebt eine Schwachstelle im Zusammenhang mit der Offenlegung von Informationen in SAP NetWeaver AS für ABAP und Platform(ICM). Das ORL-Team stellte fest, dass das ICM autorisierten Benutzern mit Administratorrechten und lokalem Zugriff auf Protokolldateien das Lesen sensibler Informationen ermöglicht, was zur Offenlegung von Informationen führt.
Zusammenfassung und Schlussfolgerungen
Obwohl der SAP-Patch-Day im August 26 SAP-Sicherheitshinweise umfasst, darunter vier HotNews- und drei Hinweise mit hoher Priorität, ist es ein deutlich ruhigerer Patch-Day als im letzten Monat. Der erste Grund dafür ist, dass es sich bei nicht weniger als elf SAP-Sicherheitshinweisen um Aktualisierungen bereits veröffentlichter SAP-Sicherheitshinweise handelt. Der zweite Grund ist, dass die beiden neuen HotNews-Hinweise dasselbe Problem betreffen, jedoch für unterschiedliche Umgebungen gelten. Das bedeutet, dass es keine Systeme gibt, für die beide Patches erforderlich sind.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3633838 | Neu | [CVE-2025-42950] Sicherheitslücke durch Code-Injektion in SAP Landscape Transformation (Analysis Platform) CA-LT-ANA | Aktuelles | 9.9 |
| 3627998 | Neu | [CVE-2025-42957] Sicherheitslücke durch Code-Injektion in SAP S/4HANA (Private Cloud On-Premise) CA-DT-ANA | Aktuelles | 9.9 |
| 3581961 | Aktualisierung | [CVE-2025-27429] Sicherheitslücke durch Code-Injektion in SAP S/4HANA (Private Cloud On-Premise) CA-LT-ANA | Aktuelles | 9.9 |
| 3610892 | Aktualisierung | [CVE-2025-42966] Sicherheitslücke durch unsichere Deserialisierung in SAP NetWeaver (XML Data Archiving Service) BC-ILM-DAS | Aktuelles | 9.1 |
| 3625403 | Neu | [CVE-2025-42951] Fehlerhafte Autorisierung in SAP Business One (SLD) SBO-BC-SLD | Hoch | 8.8 |
| 3611184 | Neu | [CVE-2025-42976] Mehrere Sicherheitslücken in SAP NetWeaver Application Server ABAP (BIC-Dokument) FIN-SEM-CPM | Hoch | 8.1 |
| 3600846 | Aktualisierung | [CVE-2025-42959] Fehlende Authentifizierungsprüfung nach der Implementierung der SAP-Sicherheitshinweise 3007182 und 3537476 BC-MID-RFC | Hoch | 8.1 |
| 3614804 | Neu | [CVE-2025-42946] Verzeichnisüberquerungs-Sicherheitslücke in SAP S/4HANA (Bank Communication Management) FIN-FSCM-BNK | Mittel | 6.9 |
| 3585491 | Neu | [CVE-2025-42945] HTML-Injection-Sicherheitslücke im SAP NetWeaver Application Server ABAP- , BC-FES-WGU | Mittel | 6.1 |
| 3629871 | Neu | [CVE-2025-42948] Cross-Site-Scripting-Sicherheitslücke (XSS) in Platform SAP NetWeaver ABAP Platform CRM-BF-ML | Mittel | 6.1 |
| 3597355 | Neu | [CVE-2025-42942] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server für ABAP- BC-MID-ICF | Mittel | 6.1 |
| 3596987 | Aktualisierung | [CVE-2025-42969] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver Application Server ABAP und ABAP Platform BC-MID-AC | Mittel | 6.1 |
| 3617131 | Aktualisierung | [CVE-2025-42981] Mehrere Sicherheitslücken in der SAP NetWeaver Application Server ABAP- BC-FES-ITS | Mittel | 6.1 |
| 3503138 | Aktualisierung | [CVE-2025-0059] Sicherheitslücke durch Offenlegung von Informationen im SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von SAP GUI for HTML) BC-FES-WGU | Mittel | 6.0 |
| 3585992 | Aktualisierung | [CVE-2025-43008] Fehlende Berechtigungsprüfung in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal PY-PT | Mittel | 5.8 |
| 3540688 | Aktualisierung | [CVE-2025-42947] Sicherheitslücke durch Code-Injektion im SAP-FICA-ODN-Framework FI-LOC-CA-XX | Mittel | 5.5 |
| 3602656 | Neu | [CVE-2025-42936] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP- BC-SRV-ARL-INT | Mittel | 5.4 |
| 3561792 | Aktualisierung | [CVE-2025-23194] Fehlende Authentifizierungsprüfung im SAP NetWeaver Enterprise Portal (OBN-Komponente) EP-PIN-OBN | Mittel | 5.3 |
| 3626722 | Neu | [CVE-2025-42949] Fehlende Berechtigungsprüfung im Platform -BC-DWB-UTL-BRR | Mittel | 4.9 |
| 3627845 | Neu | [CVE-2025-42943] Offenlegung von Informationen in SAP GUI für Windows BC-FES-GUI | Mittel | 4.5 |
| 3616863 | Neu | [CVE-2025-42934] CRLF-Injektionsschwachstelle in SAP S/4HANA (Lieferantenrechnung) CA-DMS | Mittel | 4,.3 |
| 3577131 | Aktualisierung | [CVE-2025-31331] Sicherheitslücke durch Umgehung der Autorisierung in SAP NetWeaver CA-GTF-TS-GMA | Mittel | 4.3 |
| 3601480 | Neu | [CVE-2025-42935] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver AS für ABAP und ABAP Platform(Internet Communication Manager) BC-CST-IC | Mittel | 4.1 |
| 3611345 | Neu | [CVE-2025-42955] Fehlende Autorisierungsprüfung im SAP Cloud BC-MID-SCC | Niedrig | 3.5 |
| 3624943 | Neu | [CVE-2025-42941] Reverse-Tabnabbing-Sicherheitslücke in SAP Fiori (Launchpad) CA-FLP-FE-COR | Niedrig | 3.5 |
| 3557179 | Aktualisierung | [CVE-2025-42978] Unzureichende Überprüfung des Hostnamens bei ausgehenden TLS-Verbindungen im SAP NetWeaver Application Server Java BC-JAS-SEC | Niedrig | 3.5 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen LinkedIn Defenders Digest-Newsletter.