SAP-Sicherheitshinweise: Patch-Tag im Juli 2025
Kritischer CVSS-Wert von 10 für eine Sicherheitslücke durch unsichere Deserialisierung im SAP SRM Live Auction Cockpit
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juli gehören:
- Zusammenfassung für Juli — Dreißig neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sechs HotNews-Hinweise und fünf Hinweise mit hoher Priorität
- Wichtiger Hinweis – Onapsis Research Labs eine Sicherheitslücke in Live Auction Cockpit mit einem CVSS-Wert von 10,0Onapsis Research Labs
- Onapsis Research Labs — Unser Team hat SAP dabei unterstützt, fünfzehn Sicherheitslücken zu beheben, die in vierzehn SAP-Sicherheitshinweisen behandelt wurden
SAP hat im Rahmen seines Patch Day im Juli dreißig neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter sechs HotNews-Hinweise und fünf Hinweise mit hoher Priorität. Vierzehn Sicherheitshinweise wurden unter Mitwirkung der Onapsis Research Labs veröffentlicht.
Die HotNews -Notizen im Detail
SAP veröffentlichte ursprünglich am Patch Day im Mai den Hinweis mit hoher Priorität Nr . 3578900, der fünf Sicherheitslücken im Live Auction Cockpit von SAP Supplier Relationship Management (SRM) behob. Die Onapsis Research Labs ORL) arbeiteten bei CVE-2025-30012 (CVSS 10.0) eng mit SAP zusammen, da die Sicherheitslücke durch unsichere Deserialisierung es nicht authentifizierten Angreifern ermöglicht, beliebige Betriebssystembefehle auf dem Zielsystem als SAP-Administrator auszuführen. Wir möchten SAP für die schnelle Reaktion und die Sorgfalt bei der Veröffentlichung dieser Sicherheitsupdates danken. Details zur Sicherheitslücke werden in diesem Blogbeitrag ausführlich behandelt.
Das ORL hat vier weitere kritische Sicherheitslücken durch unsichere Deserialisierung in SAP NetWeaver AS Java und im Enterprise Portal entdeckt, die alle als „HotNews Notes“ mit einem CVSS-Wert von 9,1 gekennzeichnet sind.
Der SAP-Sicherheitshinweis Nr. 3610892 behebt eine Sicherheitslücke durch unsichere Deserialisierung im XML Data Archiving Service eines SAP NetWeaver AS Java. Die Sicherheitslücke ermöglicht es einem Angreifer mit Administratorrechten, ein speziell gestaltetes serialisiertes Java-Objekt zu senden, das die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich gefährdet.
Die zweite Sicherheitslücke durch unsichere Deserialisierung wurde vom ORL im Log Viewer eines SAP NetWeaver AS Java entdeckt. Sie ermöglicht es authentifizierten Angreifern mit Administratorrechten und uneingeschränktem Zugriff auf den Log Viewer, bösartigen Code auszuführen, wodurch sie control vollständige control die betroffene Anwendung und das betroffene System erlangen. Der SAP-Sicherheitshinweis Nr. 3621771 enthält einen Patch und eine Abhilfe für das Problem. Er enthält außerdem einen FAQ-Hinweis mit weiteren Informationen.
Das ORL unterstützte SAP bei der Behebung von zwei Sicherheitslücken im Zusammenhang mit unsicherer Deserialisierung im SAP NetWeaver Enterprise Portal. Diese ermöglichen es einem privilegierten Benutzer, nicht vertrauenswürdige oder bösartige Inhalte hochzuladen, was zu einer vollständigen Kompromittierung des Hostsystems führen kann. Der SAP-Sicherheitshinweis Nr. 3621236 behebt dieses Problem in der Portalverwaltung, und der SAP-Sicherheitshinweis Nr. 3620498 enthält eine Korrektur für das Federated Portal Network.
Der SAP-Sicherheitshinweis Nr. 3618955, der mit einem CVSS-Wert von 9,9 bewertet wurde, wurde ebenfalls von externen Forschern gemeldet und behebt eine Sicherheitslücke, die die Ausführung von Remote-Code in SAP S/4HANA und SAP SCM ermöglicht. Ein anfälliger, für den Remote-Zugriff freigegebener Funktionsbaustein der Anwendung ermöglicht es einem Angreifer mit hohen Berechtigungen, einen neuen Bericht mit beliebigem Code zu erstellen und so potenziell control vollständige control das betroffene SAP-System zu erlangen. Der Patch verhindert diese Möglichkeit bei externen Aufrufen des Funktionsbausteins.
Die Notizen mit hoher Priorität im Detail
Das ORL hat eine Sicherheitslücke aufgrund einer fehlenden Authentifizierungsprüfung in SAP NetWeaver AS ABAP und Platform entdeckt, Platform nach der Implementierung der SAP-Sicherheitshinweise Nr . 3007182 und Nr . 3537476 auftritt. Ein nicht authentifizierter Angreifer kann eine HMAC-Anmeldeinformation (Hashed Message Authentication Code), die aus einem System extrahiert wurde, auf dem bestimmte Sicherheitspatches fehlen, für einen Replay-Angriff auf ein anderes System nutzen. Selbst wenn das Zielsystem vollständig gepatcht ist, könnte eine erfolgreiche Ausnutzung zu einer vollständigen Kompromittierung des Systems führen. Der SAP-Sicherheitshinweis Nr. 3600846, der mit einem CVSS-Score von 8,1 versehen ist, behebt dieses Problem und enthält eine Anleitung zur manuellen Behebung.
Der SAP-Sicherheitshinweis Nr. 3623440, der mit einem CVSS-Wert von 8,1 bewertet wurde, behebt eine Sicherheitslücke in SAP NetWeaver AS ABAP, die auf einer fehlenden Berechtigungsprüfung beruht. Ein aus der Ferne aufrufbarer Funktionsbaustein, der alle Betriebsmodi und Instanzen löscht, ist nicht durch eine explizite Berechtigungsprüfung geschützt, was zu einer vollständigen Beeinträchtigung der Integrität und Verfügbarkeit des Systems führen kann.
Der SAP-Sicherheitshinweis Nr. 3565279, der mit einem CVSS-Wert von 8,0 versehen ist, behebt eine Sicherheitslücke im Zusammenhang mit unsicheren Dateioperationen in Platform SAP Business Objects Business Intelligence Platform CMC). Die Sicherheitslücke wird durch eine ältere Version von Apache Struts verursacht, die für CVE-2024-53677 anfällig ist. Der Patch enthält eine aktualisierte, sichere Version von Apache Struts.
Eine Sicherheitslücke aufgrund fehlender Berechtigungsprüfung in SAP Business Warehouse und SAP Plug-In Basis, die mit einem CVSS-Wert von 7,7 bewertet wurde, wird durch den SAP-Sicherheitshinweis Nr . 3623255 behoben. Ein remote-fähiger Funktionsbaustein ermöglicht es einem Benutzer, beliebigen Tabellen und Strukturen zusätzliche Felder hinzuzufügen. Bei erfolgreicher Ausnutzung kann ein Angreifer das System durch das Auslösen von Short Dumps bei der Anmeldung vollständig unbrauchbar machen. Der Patch fügt dem betroffenen Funktionsbaustein eine explizite Autorisierungsprüfung hinzu.
Der SAP-Sicherheitshinweis Nr. 3610591mit hoher Priorität und einem CVSS-Wert von 7,6 enthält aktualisierte Informationen zu einer Directory-Traversal-Sicherheitslücke, die ursprünglich am SAP-Patch-Day im Juni behoben wurde. Unter anderem wurde der KBA 3619959 in den Hinweis aufgenommen.
Ein weiterer Beitrag von Onapsis
Neben den HotNews -Hinweisen und den Hinweisen mit hoher Priorität unterstützte unser ORL-Team SAP bei der Behebung von neun Sicherheitslücken mittlerer Priorität, die in acht SAP-Sicherheitshinweisen behandelt wurden, darunter drei Cross-Site-Scripting-Schwachstellen, zwei Open-Redirect-Schwachstellen und vier Schwachstellen aufgrund fehlender Autorisierungsprüfungen.
Der SAP-Sicherheitshinweis Nr. 3604212, der mit einem CVSS-Wert von 6,1 bewertet wurde, behebt eine Cross-Site-Scripting-Sicherheitslücke in SAP Business Warehouse, die nur ausgenutzt werden kann, wenn der SICF-Dienst „BExLoading“ aktiviert und für die Client-Netzwerkebene zugänglich ist. Ein Angreifer kann einen authentifizierten Benutzer dazu verleiten, auf einen bösartigen Link zu klicken, der ein eingeschleustes Skript enthält, das im Rahmen des Browsers des Opfers ausgeführt wird.
Eine ähnliche Cross-Site-Scripting-Sicherheitslücke wurde in SAP NetWeaver AS ABAP und Platform entdeckt. Sie ist ebenfalls mit einem CVSS-Wert von 6,1 bewertet und kann durch die Umsetzung des SAP-Sicherheitshinweises Nr . 3596987 behoben werden.
Der SAP-Sicherheitshinweis Nr. 3617131 behebt zwei Sicherheitslücken in SAP NetWeaver AS ABAP, die beide mit einem CVSS-Wert von 6,1 bewertet wurden. Bei der ersten Sicherheitslücke handelt es sich um eine reflektierte Cross-Site-Scripting-Schwachstelle, die ausgenutzt werden kann, um bei der Generierung von Webseiteninhalten bösartige Inhalte zu erzeugen, die bei Ausführung im Browser des Opfers zu geringfügigen Beeinträchtigungen der Vertraulichkeit und Integrität führen können. Die zweite Schwachstelle ist eine Open-Redirect-Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglicht, einen URL-Link zu erstellen, der ein bösartiges Skript enthält, das nicht ordnungsgemäß bereinigt wurde. Wenn ein Opfer auf diesen Link klickt, wird das Skript im Browser des Opfers ausgeführt und leitet es auf eine vom Angreifer kontrollierte Website weiter.
Das ORL-Team hat eine weitere Open-Redirect-Sicherheitslücke in der SAP BusinessObjects Content Administrator Workbench entdeckt. Diese kann durch die Implementierung des SAP-Sicherheitshinweises Nr . 3617380 behoben werden, der mit einem CVSS-Wert von 6,1 bewertet ist.
Die vier Sicherheitslücken im Zusammenhang mit der fehlenden Berechtigungsprüfung, die von SAP in Zusammenarbeit mit dem ORL-Team behoben wurden, betreffen vier remote-fähige Funktionsbausteine:
| SAP-Hinweis | CVSS | Betroffene Anwendung | Kommentar |
| 3621037 | 5.0 | SAP NetWeaver AS ABAP | Der Patch deaktiviert den Funktionsbaustein. |
| 3610056 | 4.3 | SAP NetWeaver AS – ABAP und ABAP Platform | Der Patch führt Autorisierungsprüfungen ein. In der Notiz heißt es: „Es sind keine Auswirkungen auf bestehende Funktionen nach der Implementierung des SAP-Sicherheitshinweises bekannt: Bitte beachten Sie, dass Sie das ST-PI Support Package 740 SP31 oder 2008_1_700 SP40 installiert haben müssen, um jegliches Risiko einer Inkompatibilität mit der aktuellen Korrektur zu vermeiden.“ |
| 3608991 | 4.3 | SAP Business Warehouse & SAP BW/4HANA BEx-Tools | Der Patch fügt Autorisierungsprüfungen hinzu. |
| 3626440 | 4.3 | SAP NetWeaver AS – ABAP und ABAP Platform | Der Patch deaktiviert den Funktionsbaustein. In der Sicherheitshinweis heißt es: „Es sind keine Auswirkungen auf bestehende Funktionen nach der Implementierung dieses SAP-Sicherheitshinweises bekannt. Beachten Sie, dass Sie ein aktuelles SAP_BASIS-Support-Paket installiert haben müssen, um Inkompatibilitätsrisiken mit der aktuellen Korrektur zu vermeiden.“ |
Zusammenfassung und Schlussfolgerungen
Mit dreißig neuen und aktualisierten Sicherheitshinweisen, darunter „ “, sechs „HotNews“-Hinweisen und fünf Hinweisen mit hoher Priorität, ist dies ein außergewöhnlicher Patch-Tag für SAP-Kunden. Wir freuen uns, dass die Onapsis Research Labs einen wesentlichen Beitrag zur Erhöhung der Sicherheit von SAP-Anwendungen Onapsis Research Labs .
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3578900 | Aktualisierung | [CVE-2025-30012] Mehrere Sicherheitslücken in SAP Supplier Relationship Management (Live Auction Cockpit) SRM-LA | Aktuelles | 10.0 |
| 3618955 | Neu | [CVE-2025-42967] Sicherheitslücke durch Code-Injektion in SAP S/4HANA und SAP SCM (Merkmalsweitergabe) SCM-APO-PPS | Aktuelles | 9.9 |
| 3610892 | Neu | [CVE-2025-42966] Sicherheitslücke durch unsichere Deserialisierung in SAP NetWeaver (XML Data Archiving Service) BC-ILM-DAS | Aktuelles | 9.1 |
| 3621236 | Neu | [CVE-2025-42964] Unsichere Deserialisierung im SAP NetWeaver Enterprise Portal-Verwaltungs BC-PIN-PCD | Aktuelles | 9,1 |
| 3620498 | Neu | [CVE-2025-42980] Unsichere Deserialisierung im SAP NetWeaver Enterprise Portal Federated Portal Network EP-PIN-FPN | Aktuelles | 9.1 |
| 3621771 | Neu | [CVE-2025-42963] Unsichere Deserialisierung im SAP NetWeaver Application Server for Java (Log Viewer) BC-JAS-ADM-LOG | Aktuelles | 9.1 |
| 3600846 | Neu | [CVE-2025-42959] Fehlende Authentifizierungsprüfung nach der Implementierung der SAP-Sicherheitshinweise 3007182 und 3537476 BC-MID-RFC | Hoch | 8.1 |
| 3623440 | Neu | [CVE-2025-42953] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP- BC-CCM-CNF-OPM | Hoch | 8.1 |
| 3565279 | Neu | [CVE-2024-53677] Sicherheitslücke durch unsichere Dateioperationen in Platform SAP Business Objects Business Intelligence Platform CMC) BI-BIP-CMC | Hoch | 8.0 |
| 3623255 | Neu | [CVE-2025-42952] Fehlende Autorisierungsprüfung in SAP Business Warehouse und SAP Plug-In Basis CRM-MW-ADP | Hoch | 7.7 |
| 3610591 | Aktualisierung | [CVE-2025-42977] Sicherheitslücke durch Verzeichnisüberquerung in SAP NetWeaver Visual Composer EP-VC-INF | Hoch | 7.6 |
| 3595143 | Neu | [CVE-2025-43001] Mehrere Sicherheitslücken, die eine Rechteausweitung ermöglichen, in SAPCAR- BC-INS-TLS | Mittel | 6.9 |
| 3580384 | Aktualisierung | [CVE-2025-42993] Fehlende Autorisierungsprüfung in SAP S/4HANA (Enterprise Event Enablement) OPU-XBE | Mittel | 6.7 |
| 3604212 | Neu | [CVE-2025-42962] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Business Warehouse (Ladeanimation von Business Explorer Web 3.5) BW-BEX-ET-WEB | Mittel | 6.1 |
| 3617380 | Neu | [CVE-2025-42985] Open-Redirect-Sicherheitslücke in der SAP BusinessObjects Content Administrator Workbench BI-RA-CR | Mittel | 6.1 |
| 3617131 | Neu | [CVE-2025-42981] Mehrere Sicherheitslücken in der SAP NetWeaver Application Server ABAP- BC-FES-ITS | Mittel | 6.1 |
| 3596987 | Neu | [CVE-2025-42969] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver Application Server ABAP und ABAP Platform BC-MID-AC | Mittel | 6.1 |
| 3595156 | Neu | [CVE-2025-42970] Verzeichnisüberquerungs-Sicherheitslücke in SAPCAR BC-INS-TLS | Mittel | 5.8 |
| 3607513 | Neu | [CVE-2025-42979] Sicherheitslücke bei der unsicheren Verwaltung von Schlüsseln und Geheimnissen in SAP GUI für Windows BC-FES-GXT | Mittel | 5.6 |
| 3606103 | Neu | [CVE-2025-42973] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Data Services (DQ Report) EIM-DS-SVR | Mittel | 5.4 |
| 3621037 | Neu | [CVE-2025-42968] Fehlende Berechtigungsprüfung in SAP NetWeaver (RFC-fähiger Funktionsbaustein) SV-SMG-MON-REP | Mittel | 5.0 |
| 3610322 | Neu | [CVE-2025-42961] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP- , BC-DB-DBI | Mittel | 4.9 |
| 3610056 | Neu | [CVE-2025-42974] Fehlende Berechtigungsprüfung in SAP NetWeaver und Platform SDCCN) SV-SMG-SDD | Mittel | 4.3 |
| 3608991 | Neu | [CVE-2025-42960] Fehlende Berechtigungsprüfung in SAP Business Warehouse und den SAP BW/4HANA BEx-Tools BW-BEX-ET | Mittel | 4.3 |
| 3626440 | Neu | [CVE-2025-42986] Fehlende Berechtigungsprüfung in SAP NetWeaver und Platform- SV-SMG-SDD | Mittel | 4.3 |
| 3598118 | Neu | [CVE-2025-42965] Sicherheitslücke durch serverseitige Anfragefälschung (SSRF) in der Anwendung „Promotion Management“ der SAP BusinessObjects BI Platform Management Console. BI-BIP-LCM | Mittel | 4.1 |
| 3573199 | Neu | [CVE-2025-31326] HTML-Injection-Sicherheitslücke in Platform SAP BusinessObjects Business Intelligence Platform Web Intelligence) BI-RA-WBI-FE-HTM | Mittel | 4.1 |
| 3595141 | Neu | [CVE-2025-42971] Sicherheitslücke durch Speicherbeschädigung in SAPCAR BC-INS-TLS | Mittel | 4.0 |
| 3557179 | Neu | [CVE-2025-42978] Unzureichende Überprüfung des Hostnamens bei ausgehenden TLS-Verbindungen im SAP NetWeaver Application Server Java BC-JAS-SEC | Niedrig | 3.5 |
| 3608156 | Neu | [CVE-2025-42954] Denial-of-Service (DOS) in SAP NetWeaver Business Warehouse (CCAW-Anwendung). BW-BEX-ET | Niedrig | 2.7 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen und unseren kontinuierlichen Bemühungen um den Wissensaustausch mit der Sicherheits-Community erhalten möchten, abonnieren Sie unseren monatlichen Onapsis-Newsletter „Defenders Digest“.