SAP-Sicherheitshinweise: Patch-Tag im Dezember 2025
Zwei HotNews -Sicherheitslücken im SAP Solution Manager und im SAP jConnect SDK für ASE wurden in Zusammenarbeit mit den Onapsis Research Labs behoben
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Dezember gehören:
- Zusammenfassung für Dezember – Siebzehn neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und fünf Hinweise mit hoher Priorität
- SAP Solution Manager – Kritische Code-Injection-Sicherheitslücke ermöglicht vollständige Kompromittierung des Systems
- Onapsis Research Labs – Unser Team hat SAP dabei unterstützt, fünf Sicherheitslücken zu beheben, die in zwei HotNews- und zwei SAP-Sicherheitshinweisen mit hoher Priorität behandelt wurden
SAP hat im Rahmen seines Patch Day im Dezember siebzehn neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter vier HotNews-Hinweise und fünf Hinweise mit hoher Priorität. Vier der vierzehn neuen SAP-Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.
Die HotNews -Notizen im Detail
Die Onapsis Research Labs ORL) unterstützten SAP bei der Behebung zweier kritischer Sicherheitslücken im SAP Solution Manager und im SAP jConnect – SDK für ASE.
Der SAP-Sicherheitshinweis Nr . 3685270, der mit einem CVSS-Wert von 9,9 bewertet wurde, behebt eine Code-Injection-Sicherheitslücke im SAP Solution Manager. Das ORL-Team hat ein remote-fähiges Funktionsmodul identifiziert, das es einem authentifizierten Angreifer ermöglicht, beliebigen Code einzuschleusen, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems hat. Die Schwachstelle wird durch das Hinzufügen einer entsprechenden Eingabevalidierung zum betroffenen Funktionsmodul behoben. Angesichts der zentralen Rolle des SAP Solution Managers in der SAP-Systemlandschaft empfehlen wir dringend eine zeitnahe Installation des Patches.
Der zweite HotNews-Hinweis, der in Zusammenarbeit mit dem ORL-Team veröffentlicht wurde, ist der SAP-Sicherheitshinweis Nr. 3685286 mit einem CVSS-Wert von 9,1. Unserem Team gelang es, eine Deserialisierungsschwachstelle im SAP jConnect SDK für Sybase Adaptive Server Enterprise (ASE) auszunutzen und durch die Übermittlung speziell gestalteter Eingaben an die Komponente eine Remote-Codeausführung zu erzwingen. Ein erfolgreicher Exploit erfordert hohe Berechtigungen, wodurch verhindert wird, dass die Schwachstelle mit einem CVSS-Score von 10,0 bewertet wird.
Der SAP HotNews-Hinweis Nr. 3668705, der mit einem CVSS-Wert von 9,9 versehen ist, wurde ursprünglich am SAP-Patch-Day im November veröffentlicht und behebt eine Code-Injection-Sicherheitslücke im SAP Solution Manager. Der Hinweis wurde um weitere Anweisungen zur Behebung des Problems ergänzt.
Die dritte neue HotNews-Meldung zum SAP-Patch-Day im Dezember betrifft Cloud der SAP Commerce Cloud . Die SAP Commerce Cloud eine Version von Apache Tomcat, die für die Sicherheitsl ücken CVE-2025-55754 und CVE-2025-55752 anfällig ist. Der SAP-Sicherheitshinweis Nr. 3683579, der mit einem CVSS-Score von 9,6 bewertet wurde, enthält Korrekturen, darunter eine gepatchte Version von Apache Tomcat. Bleiben Kunden ungepatcht, setzen sie die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung einem hohen Risiko aus.
Die Notizen mit hoher Priorität im Detail
Die Onapsis Research Labs zudem zur Behebung von drei Sicherheitslücken mit hoher Priorität beitragen, die von SAP in zwei Sicherheitshinweisen behoben wurden.
Der SAP-Sicherheitshinweis Nr. 3684682, der mit einem CVSS-Score von 8,2 versehen ist, deaktiviert einige anfällige Schnittstellen im SAP Web Dispatcher und im SAP Internet Communication Manager (ICM), die nur für Testzwecke vorgesehen waren. Wenn diese aktiviert sind, könnten nicht authentifizierte Angreifer sie ausnutzen, um auf Diagnosedaten zuzugreifen, manipulierte Anfragen zu senden oder Dienste zu stören. Als schnelle Abhilfe können Kunden die generischen Profilparameter, die die Schnittstellen offenlegen, aus den Standard- und Instanzprofilen entfernen.
Der SAP-Sicherheitshinweis Nr. 3677544, der mit einem CVSS-Wert von 7,5 bewertet wurde, behebt Speicherbeschädigungsschwachstellen im SAP Web Dispatcher, im SAP Internet Communication Manager (ICM) und im SAP Content Server. Das ORL-Team hat festgestellt, dass ein nicht authentifizierter Benutzer logische Fehler ausnutzen kann, um eine Speicherbeschädigung zu verursachen, was erhebliche negative Auswirkungen auf die Verfügbarkeit der Anwendung hat.
Der Hinweis mit hoher Priorität Nr . 3640185 ist mit einem CVSS-Wert von 7,9 versehen und behebt eine Denial-of-Service-Sicherheitslücke im SAP NetWeaver-Remote-Service für XCelsius. Der Patch entfernt den betroffenen Dienst, da der Support für XCelsius am 31. Dezember 2020 endete. Wird der Dienst nicht entfernt, kann ein Angreifer mit Netzwerkzugriff und hohen Berechtigungen aufgrund unzureichender Eingabevalidierung und unsachgemäßer Behandlung von Remote-Methodenaufrufen beliebigen Code auf dem betroffenen System ausführen.
Der SAP-Sicherheitshinweis Nr. 3650226, der mit einem CVSS-Wert von 7,5 bewertet wurde, behebt eine Denial-of-Service-Sicherheitslücke in SAP Business Objects. Eine von der Anwendung verwendete Komponente eines Drittanbieters ermöglicht es einem nicht authentifizierten Angreifer, den Dienst aufgrund einer fehlerhaften Verarbeitung von Anfragen und Ressourcen mit Anfragen zu überfluten, wodurch legitime Benutzer am Zugriff gehindert werden. Der Patch enthält eine aktualisierte Version der betroffenen Komponente des Drittanbieters, die nun vor unkontrolliertem Ressourcenverbrauch geschützt ist.
Der SAP-Sicherheitshinweis Nr. 3672151, der mit einem CVSS-Wert von 7,1 bewertet wurde, behebt eine Sicherheitslücke in SAP S/4 HANA Private Cloud, die auf einer fehlenden Berechtigungsprüfung beruht. Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer, dessen Berechtigungen auf einen einzelnen Buchungskreis beschränkt sind, sensible Daten einzusehen sowie Dokumente über alle Buchungskreise hinweg zu buchen oder zu ändern.
Zusammenfassung und Schlussfolgerungen
Mit siebzehn SAP-Sicherheitshinweisen, darunter vier „HotNews“-Hinweise und fünf Hinweise mit hoher Priorität , ist der SAP-Patch-Day im Dezember erneut sehr umfangreich. Zwei „HotNews “-Hinweise und zwei Hinweise mit hoher Priorität wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht Onapsis Research Labs sodass unser Team erneut einen wesentlichen Beitrag zur Verbesserung der Sicherheit von SAP-Anwendungen leisten konnte.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3668705 | Aktualisierung | [CVE-2025-42887] Sicherheitslücke durch Code-Injektion in SAP Solution Manager SV-SMG-SVD-SWB | Aktuelles | 9.9 |
| 3685270 | Neu | [CVE-2025-42880] Sicherheitslücke durch Code-Injektion in SAP Solution Manager SV-SMG-SVD-SWB | Aktuelles | 9.9 |
| 3683579 | Neu | Mehrere Sicherheitslücken in Apache Tomcat innerhalb der SAP Commerce Cloud CEC-SCC-PLA-PL | Aktuelles | 9.6 |
| 3685286 | Neu | [CVE-2025-42928] Deserialisierungsschwachstelle in SAP jConnect – SDK für ASE BC-SYB-SDK | Aktuelles | 9.1 |
| 3684682 | Neu | [CVE-2025-42878] Offenlegung sensibler Daten im SAP Web Dispatcher und im Internet Communication Manager (ICM) BC-CST-IC | Hoch | 8.2 |
| 3640185 | Neu | [CVE-2025-42874] Denial-of-Service (DoS) in SAP NetWeaver (Remote-Dienst für Xcelsius) BW-BEX-ET-XC | Hoch | 7.9 |
| 3650226 | Neu | [CVE-2025-48976] Denial-of-Service (DoS) in SAP Business Objects , BI-BIP-CMC | Hoch | 7.5 |
| 3677544 | Neu | [CVE-2025-42877] Sicherheitslücke durch Speicherbeschädigung in SAP Web Dispatcher, Internet Communication Manager und SAP Content Server BC-CST-IC | Hoch | 7.5 |
| 3672151 | Neu | [CVE-2025-42876] Fehlende Berechtigungsprüfung in SAP S/4 HANA Private Cloud Finanzwesen – Hauptbuch) FI-GL-GL-G | Hoch | 7.1 |
| 3591163 | Neu | [CVE-2025-42875] Fehlende Authentifizierungsprüfung im SAP NetWeaver Internet Communication Framework BC-MID-ICF | Mittel | 6.6 |
| 3662324 | Neu | [CVE-2025-42904] Sicherheitslücke durch Offenlegung von Informationen im Anwendungsserver ABAP- BC-ABA-LI | Mittel | 6.5 |
| 3662622 | Neu | [CVE-2025-42872] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver Enterprise Portal EP-CON-SAP | Mittel | 6.1 |
| 3676970 | Neu | [CVE-2025-42873] Denial-of-Service (DoS) im SAPUI5-Framework (Markdown-it-Komponente) CA-UI5-CTR-ROD | Mittel | 5.9 |
| 3659117 | Neu | [CVE-2025-42891] Fehlende Berechtigungsprüfung in SAP Enterprise Search für die ABAP- BC-EIM-ESH | Mittel | 5.5 |
| 3651390 | Neu | [CVE-2025-42896] Server-Side Request Forgery (SSRF) in der SAP BusinessObjects Business Intelligence Platform BI-BIP-INV | Mittel | 5.4 |
| 3610322 | Aktualisierung | [CVE-2025-42961] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP- BC-DB-DBI | Mittel | 4.9 |
| 3626440 | Aktualisierung | [CVE-2025-42986] Fehlende Berechtigungsprüfung in SAP NetWeaver und Platform SV-SMG-SDD | Mittel | 4.3 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Monthly Newsletter“.
Häufig gestellte Fragen (FAQs)
Welche kritischen Sicherheitslücken wurden beim SAP-Patch-Day im Dezember 2025 behoben?
In diesem Monat wurden vier HotNews-Hinweise veröffentlicht, wobei die kritischste eine Code-Injection-Sicherheitslücke im SAP Solution Manager (Hinweis Nr. 3685270) mit einem CVSS-Wert von 9,9 ist. Diese Schwachstelle ermöglicht es einem authentifizierten Angreifer, beliebigen Code einzuschleusen, was möglicherweise zu einer vollständigen Kompromittierung des Systems führen kann. Eine weitere schwerwiegende Schwachstelle betrifft das SAP jConnect SDK für ASE (Note #3685286), die die Ausführung von Remote-Code über Deserialisierung ermöglicht.
Wie viele Sicherheitshinweise wurden im Dezember 2025 veröffentlicht?
SAP hat insgesamt siebzehn neue und aktualisierte Sicherheitshinweise veröffentlicht. Darunter befinden sich vier „HotNews“-Hinweise (CVSS 9.0+) und fünf Hinweise mit hoher Priorität (CVSS 7,0–8,9), die verschiedene Komponenten wie den SAP Solution Manager, Cloud SAP Commerce Cloud und den SAP Web Dispatcher betreffen.
Zu welchen Sicherheitslücken haben die Onapsis Research Labs ?
Die Onapsis Research Labs ORL) haben SAP diesen Monat dabei unterstützt, fünf Sicherheitslücken zu beheben. Diese Beiträge umfassen zwei „HotNews“-Meldungen und zwei Meldungen mit hoher Priorität:
- HotNews #3685270: Code-Injektion im SAP Solution Manager.
- HotNews #3685286: Deserialisierungsschwachstelle im SAP jConnect SDK für ASE.
- Hohe Priorität #3684682: Offenlegung sensibler Daten im SAP Web Dispatcher und im ICM.
- Hohe Priorität #3677544: Speicherbeschädigung im SAP Web Dispatcher, ICM und Content Server.
Was ist das Problem mit der SAP Commerce Cloud Dezember-Patch?
Cloud SAP Commerce Cloud von Sicherheitslücken in ihrem integrierten Apache-Tomcat-Server betroffen (Hinweis Nr. 3683579, CVSS 9.6). Das Problem betrifft die CVE-2025-55754 und CVE-2025-55752, die die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich gefährden könnten, wenn sie nicht behoben werden.
Wie behebe ich die Denial-of-Service-Sicherheitslücke in XCelsius (Hinweis Nr. 3640185)?
Die Abhilfe für die Denial-of-Service-Sicherheitslücke im SAP NetWeaver-Remote-Service für XCelsius (CVSS 7.9) besteht darin, den betroffenen Dienst vollständig zu entfernen. Der Support für XCelsius endete am 31. Dezember 2020, sodass der Dienst nicht mehr in Gebrauch sein sollte. Bleibt er aktiv, können Angreifer mit hohen Berechtigungen beliebigen Code ausführen.
Welche Abhilfe gibt es für die Sicherheitslücke im SAP Web Dispatcher (Hinweis Nr. 3684682)?
Um die Sicherheitslücke im SAP Web Dispatcher und im ICM (CVSS 8.2) zu beheben, die zur Offenlegung sensibler Daten führen kann, können Kunden die generischen Profilparameter entfernen, die anfällige Testschnittstellen offenlegen. Diese Schnittstellen waren ausschließlich für Testzwecke vorgesehen und sollten in Standard- und Instanzprofilen deaktiviert werden, um unbefugten Zugriff zu verhindern.
Gibt es einen Patch für die Denial-of-Service-Sicherheitslücke in SAP Business Objects?
Ja, der SAP-Sicherheitshinweis Nr. 3650226 (CVSS 7.5) behebt eine Denial-of-Service-Sicherheitslücke in SAP Business Objects. Das Problem geht auf eine Komponente eines Drittanbieters zurück, die Anfragen nicht ordnungsgemäß verarbeitet, wodurch Angreifer den Dienst mit Anfragen überfluten können. Der Patch enthält eine aktualisierte Version der Drittanbieter-Komponente, die einen unkontrollierten Ressourcenverbrauch verhindert.