SAP-Sicherheitshinweise: Patch-Tag im Juni 2025
Kritische Lücke bei der Berechtigungsprüfung im RFC-Framework erfordert sofortiges Kernel-Update
Willkommen zu unserer Analyse des SAP-Patch-Days im Juni. Eine ausführliche Anleitung zu SAP-Sicherheitshinweisen, deren Bedeutung und bewährten Verfahren für deren Verwaltung finden Sie in unserer umfassenden Übersicht zum SAP-Patch-Day.
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Juni gehören:
- Zusammenfassung für Juni — Neunzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter zwei HotNews- Hinweise und sieben Hinweise mit hoher Priorität
- Kritische fehlende Berechtigungsprüfung — Sicherheitslücke im RFC-Framework erfordert sofortiges Kernel-Update
- Onapsis Research Labs — Unser Team hat SAP dabei unterstützt, vier Sicherheitslücken zu beheben, die in zwei SAP-Sicherheitshinweisen behandelt wurden
SAP hat im Rahmen seines Patch Day im Juni neunzehn neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter zwei HotNews-Hinweise und sieben Hinweise mit hoher Priorität. Zwei der vierzehn neuen Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labsveröffentlicht.
Die HotNews -Notizen im Detail
Der SAP-Sicherheitshinweis Nr. 3600840, der mit einem CVSS-Wert von 9,6 bewertet wurde, behebt eine kritische Sicherheitslücke aufgrund einer fehlenden Autorisierungsprüfung im Remote Function Call (RFC)-Framework des SAP NetWeaver Application Server AS ABAP. Unter bestimmten Bedingungen können authentifizierte Angreifer die Standard-Berechtigungsprüfung für das Berechtigungsobjekt S_RFC bei der Verwendung von transaktionalen (tRFC) oder queued RFCs (qRFC) umgehen, was zu einer Rechteausweitung führt. Dadurch kann ein Angreifer die Integrität und Verfügbarkeit der Anwendung kritisch beeinträchtigen. Der Sicherheitshinweis weist darauf hin, dass die Änderung möglicherweise erfordert, dass einigen Benutzern zusätzliche S_RFC-Berechtigungen zugewiesen werden müssen. Der referenzierte FAQ-SAP-Hinweis Nr. 3601919 erläutert, wie diese Benutzer identifiziert werden und wie die zusätzliche S_RFC-Prüfung nach Rollenanpassungen durch Setzen des Profilparameters rfc/authCheckInPlayback auf 1 endgültig aktiviert wird.
Der SAP-Sicherheitshinweis Nr. 3604119, der mit einem CVSS-Wert von 9,1 versehen ist, stellt lediglich eine textliche Aktualisierung des kritischen Patches für SAP Visual Composer dar, der ursprünglich von SAP in Zusammenarbeit mit Onapsis am Patch Day im Mai veröffentlicht wurde. In der Aktualisierung wird betont, dass der Patch unabhängig von einer vorherigen Implementierung des SAP-Sicherheitshinweises Nr. 3594142 installiert werden muss.
Die Notizen mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3609271, der mit einem CVSS-Wert von 8,8 bewertet wurde, deaktiviert einen anfälligen Bericht in SAP GRC, der es einem Benutzer mit geringen Berechtigungen ermöglicht, Transaktionen zu initiieren, durch die er control Systemzugangsdaten ändern oder control könnte. Ein erfolgreicher Angriff kann erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben.
Der SAP-Sicherheitshinweis Nr. 3474398, der mit einem CVSS-Wert von 8,7 versehen ist, wurde ursprünglich am Patch Day im Januar von SAP veröffentlicht und behebt eine Sicherheitslücke, die zur Offenlegung von Informationen führt, sowie eine Code-Injection-Schwachstelle in Platform SAP BusinessObjects Business Intelligence Platform. Der Hinweis wurde mit aktualisierten Informationen zu „Gültigkeit“ und „Support-Pakete & Patches“ erneut veröffentlicht.
Der SAP-Sicherheitshinweis Nr. 3606484, der mit einem CVSS-Wert von 8,5 bewertet wurde, behebt eine fehlende Berechtigungsprüfung in SAP Business Warehouse und SAP Plug-In Basis. Ein remote-fähiger Funktionsbaustein ermöglicht das generische Löschen von Datenbanktabellen ohne vorherige Berechtigungsprüfung. Durch die Umsetzung des Hinweises wird der betreffende Quellcode deaktiviert.
Eine fehlende oder unzureichende Bereinigung von Eingabetext in SAP BusinessObjects Business Intelligence (BI Workspace) ermöglicht es einem nicht authentifizierten Angreifer, ein bösartiges Skript zu erstellen und in einem Arbeitsbereich zu speichern. Beim späteren Zugriff auf den Arbeitsbereich wird das Skript im Browser des Opfers ausgeführt, wodurch der Angreifer potenziell auf sensible Sitzungsinformationen zugreifen, diese ändern oder Browserinformationen unzugänglich machen kann. Die Cross-Site-Scripting-Sicherheitslücke wird durch den SAP-Sicherheitshinweis Nr . 3560693 behoben, der mit einem CVSS-Score von 8,2 bewertet ist.
Der SAP-Sicherheitshinweis Nr. 3591978, der mit einem CVSS-Wert von 7,7 bewertet wurde, wurde ursprünglich am SAP-Patch-Day im Mai in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. Der Hinweis behebt eine Sicherheitslücke aufgrund einer fehlenden Berechtigungsprüfung in SAP Landscape Transformation und wird mit aktualisierten Informationen zu den Punkten „Gültigkeit“ und „Support-Pakete & Patches“ erneut veröffentlicht.
Nach den kritischen Patches für SAP Visual Composer, die im April und Mai veröffentlicht wurden, hat SAP an seinem Patch Day im Juni einen weiteren Patch für die Anwendung herausgegeben. Der SAP-Sicherheitshinweis Nr. 3610591, der mit einem CVSS-Score von 7,6 bewertet ist, behebt eine Directory-Traversal-Sicherheitslücke, die durch eine unzureichende Validierung von Eingabepfaden verursacht wird, die von einem Benutzer mit hohen Berechtigungen bereitgestellt werden. Bei erfolgreicher Ausnutzung kann ein Angreifer beliebige Dateien lesen und ändern.
Der SAP-Sicherheitshinweis Nr. 3610006, der mit einem CVSS-Wert von 7,5 versehen ist, behebt drei Sicherheitslücken im SAP Master Data Management (MDM) Server. Alle drei Sicherheitslücken wurden von den Onapsis Research Labs(ORL) identifiziert und konnten von SAP in Zusammenarbeit mit dem ORL-Team umgehend behoben werden. Zwei der drei Schwachstellen sind Speicherbeschädigungsschwachstellen, die es einem Angreifer ermöglichen, speziell gestaltete Pakete zu senden, die eine Speicherzugriffsverletzung im Serverprozess auslösen könnten. Infolgedessen bricht der Prozess ab und wird unerwartet beendet, was erhebliche Auswirkungen auf die Verfügbarkeit der Anwendung hat. Die dritte Schwachstelle ist eine Schwachstelle im Zusammenhang mit unsicherer Sitzungsverwaltung, die es einem Angreifer ermöglicht, control bestehende Client-Sitzungen zu erlangen und bestimmte Funktionen auszuführen, ohne dass eine erneute Authentifizierung erforderlich ist. Bei erfolgreicher Ausnutzung kann der Angreifer nicht sensible Informationen lesen und ändern oder ausreichend Ressourcen beanspruchen, was die Leistung des Servers beeinträchtigen könnte.
Beitrag von Onapsis
Zusätzlich zu den drei Schwachstellen, die mit dem SAP-Sicherheitshinweis Nr . 3610006 behoben wurden, unterstützte das ORL-Team SAP bei der Behebung einer Cross-Site-Scripting-Schwachstelle (XSS) in der Keyword-Dokumentation von SAP NetWeaver AS ABAP. Aufgrund einer unzureichenden Validierung von URL-Anfragen konnte ein nicht authentifizierter Angreifer über einen ungeschützten Parameter bösartiges JavaScript in eine Webseite einschleusen. Beim anschließenden Zugriff eines Opfers wird das Skript in dessen Browser ausgeführt, wodurch der Angreifer eingeschränkten Zugriff auf vertrauliche Informationen erhält. Der SAP-Sicherheitshinweis Nr . 3590887, der mit einem CVSS-Score von 5,8 versehen ist, führt eine ordnungsgemäße URL-Anforderungsvalidierung für ungeschützte Parameter ein.
Zusammenfassung und Schlussfolgerungen
Mit neunzehn Sicherheitshinweisen, darunter ein neuer „HotNews“-Hinweis und fünf neue Hinweise mit hoher Priorität , ist der Patch Day von SAP im Juni eher durchschnittlich. Besondere Aufmerksamkeit sollte dem SAP-Sicherheitshinweis Nr . 3600840 gewidmet werden, und eine sofortige Installation des Patches wird dringend empfohlen.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3600840 | Neu | [CVE-2025-42989] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP- , BC-MID-RFC-QT | Aktuelles | 9.6 |
| 3604119 | Aktualisierung | [CVE-2025-42999] Unsichere Deserialisierung in SAP NetWeaver (Visual Composer-Entwicklungsserver) EP-VC-INF | Aktuelles | 9.1 |
| 3609271 | Neu | [CVE-2025-42982] Offenlegung von Informationen in SAP GRC (AC-Plugin) GRC-ACP | Hoch | 8.8 |
| 3474398 | Aktualisierung | [CVE-2025-0061] Mehrere Sicherheitslücken in Platform SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Hoch | 8.7 |
| 3606484 | Neu | [CVE-2025-42983] Fehlende Autorisierungsprüfung in SAP Business Warehouse und SAP Plug-In Basis- -CRM-MW | Hoch | 8.5 |
| 3560693 | Neu | [CVE-2025-23192] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP BusinessObjects Business Intelligence (BI Workspace) BI-BIP-INV | Hoch | 8.2 |
| 3591978 | Aktualisierung | [CVE-2025-43011] Fehlende Berechtigungsprüfung bei der SAP-Landschaftstransformation (PCL Basis) CA-LT-PCL | Hoch | 7.7 |
| 3610591 | Neu | [CVE-2025-42977] Sicherheitslücke durch Verzeichnisüberquerung in SAP NetWeaver Visual Composer EP-VC-INF | Hoch | 7,6 |
| 3610006 | Neu | [CVE-2025-42994] Mehrere Sicherheitslücken in SAP MDM Server MDM-FN-MDS-SEC | Hoch | 7.5 |
| 3580384 | Neu | [CVE-2025-42993] Fehlende Autorisierungsprüfung in SAP S/4HANA (Enterprise Event Enablement) OPU-XBE | Mittel | 6.7 |
| 3590887 | Neu | [CVE-2025-31325] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver (ABAP-Schlüsselwortdokumentation) BC-ABA-LA | Mittel | 5.8 |
| 3585992 | Aktualisierung | [CVE-2025-43008] Fehlende Berechtigungsprüfung in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal PY-PT | Mittel | 5.8 |
| 3441087 | Neu | [CVE-2025-42984] Fehlende Autorisierungsprüfung in SAP S/4HANA (Anwendung „Zentralen Einkaufsvertrag verwalten“) MM-PUR-HUB-CTR | Mittel | 5.4 |
| 3594258 | Neu | [CVE-2025-42998] Sicherheitslücke aufgrund einer Fehlkonfiguration im SAP Business One Integration Framework SBO-INT-B1IF | Mittel | 5.3 |
| 3608058 | Neu | [CVE-2025-42991] Fehlende Autorisierungsprüfung in SAP S/4HANA (Bankkontenanwendung) FIN-FSCM-CLM-BAM | Mittel | 4.3 |
| 3596850 | Neu | [CVE-2025-42987] Fehlende Berechtigungsprüfung in SAP S/4HANA (Verarbeitungsregeln verwalten – Für Kontoauszug) FI-FIO-AR-PAY | Mittel | 4.3 |
| 3585545 | Neu | [CVE-2025-42988] Serverseitige Request-Forgery in Platform SAP Business Objects Business Intelligence Platform BI-BIP-INV | Niedrig | 3.7 |
| 3426825 | Aktualisierung | [CVE-2025-23191] Cache-Poisoning durch eine Schwachstelle bei der Header-Manipulation in SAP Fiori für SAP-ERP OPU-GW-COR | Niedrig | 3.1 |
| 3601169 | Neu | [CVE-2025-42990] HTML-Injektion in ungeschützte SAPUI5-Anwendungen CA-UI5-SC | Niedrig | 3.0 |
Wie immer Onapsis Research Labs die Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defenders Digest Onapsis“-Newsletter auf LinkedIn.