SAP-Sicherheitshinweise: Analyse des Patch-Tages im September 2025
Patch-Tag im September: Die wichtigsten Punkte und eine wichtige Warnung
SAP hat im Rahmen seines Patch Day im September 25 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter vier HotNews-Hinweise und vier Hinweise mit hoher Priorität. Sieben der 21 neuen Sicherheitshinweise wurden in Zusammenarbeit mit dem Onapsis Research Labsveröffentlicht.
Der SAP Patch Day dieses Monats brachte eine ganze Reihe kritischer und hochprioritärer Sicherheitshinweise mit sich. Hier ein kurzer Überblick über die wichtigsten Ergebnisse unserer Analyse:
Die wichtigsten Erkenntnisse aus unserer Analyse vom September 2025
- Zusammenfassung für September — 25 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und vier Hinweise mit hoher Priorität
- SAP NW AS Java — Zwei kritische SAP-Sicherheitshinweise veröffentlicht
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, sieben Sicherheitslücken zu beheben, die in zwei „HotNews“- und fünf SAP-Sicherheitshinweisen mit mittlerer Priorität behandelt wurden
HotNews -Hinweise: Analyse kritischer Sicherheitslücken
Die Onapsis Research Labs ORL) unterstützten SAP bei der Behebung zweier kritischer Sicherheitslücken in SAP NetWeaver AS Java.
Der SAP-Sicherheitshinweis Nr. 3634501, der mit der höchstmöglichen CVSS-Bewertung von 10,0 versehen ist, behebt eine Sicherheitslücke durch unsichere Deserialisierung im RMI-P4-Modul von AS Java. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, beliebige Betriebssystembefehle auszuführen, indem er bösartige Daten an einen offenen Port sendet. Ein erfolgreicher Angriff kann zur vollständigen Kompromittierung der Anwendung führen. Als vorübergehende Abhilfe sollten Kunden eine P4-Portfilterung auf ICM-Ebene einrichten, um zu verhindern, dass unbekannte Hosts eine Verbindung zum P4-Port herstellen.
Der SAP-Sicherheitshinweis Nr. 3643865, der mit einem CVSS-Wert von 9,9 bewertet wurde, behandelt eine Sicherheitslücke im Zusammenhang mit unsicheren Dateioperationen in SAP NetWeaver AS Java. Das ORL-Team hat eine Schwachstelle im Dienst entdeckt, die es einem Angreifer ermöglicht, der als Nicht-Administrator-Benutzer authentifiziert ist, beliebige Dateien hochzuladen. Bei Ausführung dieser Dateien kann das System vollständig kompromittiert werden.
Die dritte neue HotNews-Meldung ist der SAP-Sicherheitshinweis Nr. 3627373 mit einem CVSS-Wert von 9,1. Der Hinweis behebt eine fehlende Authentifizierungsprüfung in SAP-NetWeaver-Anwendungen, die auf der IBM i-Serie laufen. Unbefugte Benutzer mit hohen Berechtigungen können sensible Informationen lesen, ändern oder löschen sowie auf administrative oder privilegierte Funktionen zugreifen.
Der SAP HotNews-Hinweis Nr. 3302162, der mit einem CVSS-Wert von 9,6 versehen ist, wurde ursprünglich im März 2023 veröffentlicht und behebt eine Directory-Traversal-Sicherheitslücke in SAP NetWeaver AS ABAP. Der Hinweis wurde um weitere Anweisungen zur Behebung des Problems ergänzt.
Ein genauerer Blick auf Sicherheitslücken mit hoher Priorität
Der SAP-Sicherheitshinweis Nr. 3642961, der mit einem CVSS-Wert von 8,8 bewertet wurde, behebt eine Sicherheitslücke im Zusammenhang mit der unsicheren Speicherung sensibler Daten im Backend-Dienst des System Landscape Directory von SAP Business One. Aufgrund fehlender angemessener Verschlüsselung bei einigen APIs konnten sensible Anmeldedaten im Hauptteil der HTTP-Antwort offengelegt werden, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hatte.
SAP S/4HANA (Private Cloud On-Premise) ist von dem SAP-Sicherheitshinweis Nr . 3635475 mit hoher Priorität betroffen, der mit einem CVSS-Wert von 8,1 bewertet wurde. Ein ABAP-Bericht der Anwendung ermöglicht das Löschen beliebiger Tabellen, die nicht durch eine Berechtigungsgruppe geschützt sind, was erhebliche Auswirkungen auf die Integrität und Verfügbarkeit der Datenbank hat.
Der SAP-Sicherheitshinweis Nr. 3633002 behebt dieselbe Sicherheitslücke im SAP Landscape Transformation Replication Server.
Der SAP-Sicherheitshinweis Nr. 3581811 wurde ursprünglich im April 2025 veröffentlicht. Der Hinweis ist mit einem CVSS-Wert von 7,7 versehen und behebt eine Directory-Traversal-Sicherheitslücke in SAP NetWeaver und Platform Service Data Collection). Der Hinweis wurde mit aktualisierten Anweisungen zur Behebung erneut veröffentlicht.
Beiträge Onapsis Research Labs
Zusätzlich zu den beiden Sicherheitslücken in SAP NetWeaver AS Java, die durch HotNews Notes behoben wurden, unterstützte das ORL-Team SAP bei der Behebung von fünf Sicherheitslücken mittlerer Priorität.
Der SAP-Sicherheitshinweis Nr. 3614067, der mit einem CVSS-Wert von 6,5 bewertet wurde, behebt eine Denial-of-Service-Sicherheitslücke in SAP Business Planning and Consolidation. Das ORL-Team identifizierte ein aus der Ferne aufrufbares Funktionsmodul, dessen Parameter von authentifizierten Standardbenutzern so manipuliert werden konnten, dass eine nahezu endlose Schleife ausgelöst wurde, die übermäßige Ressourcen beanspruchte und zur Nichtverfügbarkeit des Systems führte.
Der SAP-Sicherheitshinweis Nr. 3629325, der mit einem CVSS-Wert von 6,1 versehen ist, beschreibt eine Cross-Site-Scripting-Sicherheitslücke (XSS) in Platform SAP NetWeaver Platform. Aufgrund einer unzureichenden Kodierung von URL-Parametern könnte ein nicht authentifizierter Angreifer einen bösartigen Link generieren und diesen öffentlich zugänglich machen. Wenn ein authentifizierter Benutzer auf diesen Link klickt, wird die eingeschleuste Eingabe bei der Seitengenerierung der Website verarbeitet, was zur Erstellung bösartiger Inhalte führt. Bei Ausführung dieser Inhalte kann der Angreifer auf Informationen im Browserbereich des Opfers zugreifen oder diese verändern, was die Vertraulichkeit und Integrität beeinträchtigt, während die Verfügbarkeit unbeeinträchtigt bleibt.
Der SAP-Sicherheitshinweis Nr. 3647098, der mit einem CVSS-Wert von 6,1 versehen ist, behebt eine weitere XSS-Sicherheitslücke in SAP Supplier Relationship Management. Die Art der möglichen Ausnutzung und die Auswirkungen sind genau dieselben wie beim SAP-Sicherheitshinweis Nr. 3629325.
Das ORL-Team identifizierte einen remote-fähigen Funktionsbaustein in SAP NetWeaver (Service Data Download), der Zugriff auf Informationen über das SAP-System und das Betriebssystem gewähren könnte. Die Schwachstelle wird mit dem SAP-Sicherheitshinweis Nr. 3627644, der mit einem CVSS-Score von 5,0 bewertet ist, behoben, indem dem Funktionsbaustein eine ordnungsgemäße Autorisierungsprüfung hinzugefügt wird.
Der SAP-Sicherheitshinweis Nr. 3640477, der mit einem CVSS-Wert von 4,3 bewertet wurde, behebt eine Sicherheitslücke im IIOP-Dienst von SAP NetWeaver AS Java, bei der Objekt-IDs vorhersehbar sind. Da bei der Vergabe von Objekt-IDs im IIOP-Dienst keine Zufälligkeit gewährleistet ist, kann ein authentifizierter Angreifer mit geringen Berechtigungen die IDs leicht vorhersagen. Dies könnte es ihm ermöglichen, Zugriff auf begrenzte Systeminformationen zu erlangen.
Zusammenfassung und abschließende Empfehlungen
Mit 25 Sicherheitshinweisen, darunter vier HotNews-Hinweise und vier Hinweise mit hoher Priorität , ist der Patch Day von SAP im September erneut sehr umfangreich. Besondere Aufmerksamkeit verdienen die beiden kritischen HotNews-Hinweise für SAP NetWeaver AS Java, die in Zusammenarbeit mit den Onapsis Research Labs behoben wurden.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3634501 | Neu | [CVE-2025-42944] Sicherheitslücke durch unsichere Deserialisierung in SAP NetWeaver (RMI-P4) BC-JAS-COR-RMT | Aktuelles | 10.0 |
| 3643865 | Neu | [CVE-2025-42922] Sicherheitslücke durch unsichere Dateioperationen in SAP NetWeaver AS Java (Deploy Web Service) BC-JAS-DPL | Aktuelles | 9.9 |
| 3302162 | Aktualisierung | [CVE-2023-27500] Sicherheitslücke durch Verzeichnisüberquerung in SAP NetWeaver AS für ABAP und Platform BC-DOC-RIT | Aktuelles | 9.6 |
| 3627373 | Neu | [CVE-2025-42958] Fehlende Authentifizierungsprüfung in SAP NetWeaver BC-OP-AS4 | Aktuelles | 9.1 |
| 3642961 | Neu | [CVE-2025-42933] Unsichere Speicherung sensibler Daten in SAP Business One (SLD) SBO-BC-SLD | Hoch | 8.8 |
| 3635475 | Neu | [CVE-2025-42916] Sicherheitslücke durch fehlende Eingabevalidierung in SAP S/4HANA (Private Cloud On-Premise) CA-DT-CNV-BAS | Hoch | 8.1 |
| 3633002 | Neu | [CVE-2025-42929] Sicherheitslücke durch fehlende Eingabevalidierung im SAP Landscape Transformation Replication Server CA-LT-OBT | Hoch | 8.1 |
| 3581811 | Aktualisierung | [CVE-2025-27428] Verzeichnisüberquerungs-Sicherheitslücke in SAP NetWeaver und Platform AP Platform Service Data Collection) SV-SMG-SDD | Hoch | 7.7 |
| 3620264 | Neu | [CVE-2025-22228] Sicherheitslücke durch Fehlkonfiguration in Spring Security innerhalb von SAP Commerce Cloud SAP Datahub CEC-SCC-PLA-PL | Mittel | 6.6 |
| 3643832 | Neu | [CVE-2025-42917] Fehlende Autorisierungsprüfung in SAP HCM (Anwendung „Arbeitszeitnachweise genehmigen“ in Fiori 2.0) PA-FIO-TS | Mittel | 6.5 |
| 3635587 | Neu | [CVE-2025-42912] Fehlende Berechtigungsprüfung in SAP HCM (Anwendung „My Timesheet Fiori 2.0“) PA-FIO-TS | Mittel | 6.5 |
| 3614067 | Neu | [CVE-2025-42930] Denial-of-Service-Sicherheitslücke (DoS) in SAP Business Planning and Consolidation EPM-BPC-NW-SQE | Mittel | 6.5 |
| 3611420 | Neu | [CVE-2023-5072] Denial-of-Service-Sicherheitslücke (DoS) aufgrund einer veralteten JSON-Bibliothek, die in Platform SAP BusinessObjects Business Intelligence Platform verwendet wird BI-BIP-INV | Mittel | 6.5 |
| 3629325 | Neu | [CVE-2025-42938] Cross-Site-Scripting-Sicherheitslücke (XSS) in Platform SAP NetWeaver ABAP Platform CRM-BF-ML | Mittel | 6.1 |
| 3647098 | Neu | [CVE-2025-42920] Cross-Site-Scripting-Sicherheitslücke (XSS) in der SAP-Anwendung „Supplier Relationship Management“( ) SRM-EBP-TEC-ITS | Mittel | 6.1 |
| 3409013 | Neu | [CVE-2025-42915] Fehlende Berechtigungsprüfung in der Fiori-App (Zahlungsblöcke verwalten) FI-FIO-AP | Mittel | 5.4 |
| 3619465 | Neu | [CVE-2025-42926] Fehlende Authentifizierungsprüfung im SAP NetWeaver Application ServerJava- , BC-WD-JAV | Mittel | 5.3 |
| 3627644 | Neu | [CVE-2025-42911] Fehlende Berechtigungsprüfung in SAP NetWeaver (Service Data Download) SV-SMG-SDD | Mittel | 5.0 |
| 3610322 | Aktualisierung | [CVE-2025-42961] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP- , BC-DB-DBI | Mittel | 4.9 |
| 3623504 | Neu | [CVE-2025-42918] Fehlende Berechtigungsprüfung im SAP NetWeaver Application Server für ABAP (Hintergrundverarbeitung) BC-CCM-BTC | Mittel | 4.3 |
| 3450692 | Neu | [CVE-2025-42923] Sicherheitslücke durch Cross-Site Request Forgery (CSRF) in der SAP-Fiori-App (F4044 „Arbeitsplatzgruppen verwalten“) PP-BD-WKC | Mittel | 4.3 |
| 3640477 | Neu | [CVE-2025-42925] Sicherheitslücke durch vorhersehbare Objektkennungen in SAP NetWeaver AS Java (IIOP-Dienst) BC-JAS-COR-RMT | Mittel | 4.3 |
| 3624943 | Neu | [CVE-2025-42941] Reverse-Tabnabbing-Sicherheitslücke in SAP Fiori (Launchpad) CA-FLP-FE-COR | Niedrig | 3.5 |
| 3525295 | Neu | [CVE-2025-42927] Offenlegung von Informationen aufgrund einer veralteten OpenSSL-Version in SAP NetWeaver AS Java (Adobe Document Service) BC-SRV-FP | Niedrig | 3.4 |
| 3632154 | Neu | [CVE-2024-13009] Mögliche Sicherheitslücke durch unsachgemäße Freigabe von Ressourcen in SAP Commerce Cloud CEC-SCC-PLA-PL | Niedrig | 3.1 |
Um Ihre SAP-Umgebung wirklich zu schützen, sind sofortige Maßnahmen erforderlich. Wir empfehlen Ihnen dringend, zunächst die Umsetzung der Sicherheitshinweise der Kategorien „HotNews“ und „High Priority“ zu priorisieren. Dieser risikobasierte Ansatz in Verbindung mit dem Einsatz von SAP-Tools zur Sicherheitsautomatisierung stellt sicher, dass Sie die kritischsten Schwachstellen schnell und effizient beheben können. Zögern Sie nicht, denn Angreifer nutzen neu bekannt gewordene Schwachstellen oft sehr schnell aus.
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Monthly Newsletter “.
Häufig gestellte Fragen
Warum ist eine strukturierte Strategie für das Patch-Management für SAP von entscheidender Bedeutung?
Ein strukturierter Prozess für das Patch-Management ist unerlässlich, um Ihre Angriffsfläche zu verringern, die Einhaltung gesetzlicher Vorschriften sicherzustellen und geschäftskritische Daten zu schützen. Über das bloße Installieren von Patches hinaus umfasst eine umfassende Strategie die Priorisierung von Schwachstellen nach ihrem Risiko sowie die Automatisierung von Prozessen. Um ein tieferes Verständnis dieser Best Practices zu erlangen, lesen Sie unsere Übersicht über SAP-Sicherheitshinweise.
Wie kann die Auswertung früherer SAP-Sicherheitshinweise unsere threat intelligence verbessern?
Durch die Analyse historischer Patch-Daten können Unternehmen wertvolle Einblicke in die sich weiterentwickelnden Taktiken von Angreifern und die Arten von Schwachstellen gewinnen, auf die diese abzielen. Dieser proaktive Ansatz ermöglicht es Ihnen, zukünftige Bedrohungen besser zu antizipieren und defend . Sie finden alle unsere bisherigen monatlichen Analysen im Blog-Archiv des SAP Patch Day.
Wie sollten wir Patches anhand der SAP- und CVSS-Bewertungen priorisieren?
Patches sollten nach ihrem Risikograd priorisiert werden, wobei „HotNews“-Meldungen (CVSS 9,0–10,0) und Meldungen mit hoher Priorität (CVSS 7,0–8,9) aufgrund ihrer potenziell schwerwiegenden Auswirkungen zuerst behandelt werden sollten. Es ist zudem von entscheidender Bedeutung, Faktoren wie die Verfügbarkeit von Exploits zu berücksichtigen und zu prüfen, ob ein anfälliges System mit dem Internet verbunden ist.