SAP-Sicherheitshinweise: Patch-Tag im Mai 2025
Kritische Sicherheitslücken in SAP Visual Composer erfordern eine sofortige Behebung
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom Mai gehören:
- Zusammenfassung für Mai — 22 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und fünf Hinweise mit hoher Priorität
- SAP Visual Composer — Kritische Deserialisierungsschwachstelle muss umgehend behoben werden
- Onapsis Research Labs — Unser Team hat SAP dabei unterstützt, neun Sicherheitslücken zu beheben, die in sechs SAP-Sicherheitshinweisen behandelt wurden
SAP hat im Rahmen seines „Patch Day“ im Mai zweiundzwanzig neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter vier „HotNews“-Hinweise und fünf Hinweise mit hoher Priorität. Sechs der neunzehn neuen Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.
Im Rahmen unseres kontinuierlichen Engagements für SAP-Sicherheithat Onapsis Research Labs weiterhin eine Vorreiterrolle bei der Identifizierung und Behebung kritischer Schwachstellen im gesamten SAP-Ökosystem.
Die HotNews -Notizen im Detail
Kritische Sicherheitslücke in SAP Visual Composer (CVE-2025-31324)
Der SAP-Sicherheitshinweis Nr. 3594142, der mit der höchstmöglichen CVSS-Bewertung von 10,0 versehen ist, wurde am 24. April von SAP als Notfall-Release veröffentlicht. Der Hinweis behebt eine kritische Sicherheitslücke im SAP Visual Composer, die unter der Kennung CVE-2025-31324 erfasst ist und auf eine fehlende Berechtigungsprüfung zurückzuführen ist. Ein Notfall-Release war erforderlich, da SAP und externe Forschungsunternehmen bereits aktive Exploits der Schwachstelle in freier Wildbahn identifiziert hatten.
Am 29. April 2025 nahm die CISA die CVE in ihren Katalog bekannter ausgenutzter Schwachstellen auf.
Aktive Ausnutzung und Folgeangriffe
Onapsis beobachtet derzeit rege Aktivitäten von Angreifern, die öffentlich zugängliche Informationen nutzen, um von den ursprünglichen Angreifern – die sich derzeit zurückgezogen haben – platzierte Webshells auszunutzen und zu missbrauchen. Die Onapsis Research Labs ORL) und andere Sicherheitsfirmen finden Hinweise darauf, dass opportunistische Nachahmer die aus früheren Angriffskampagnen stammenden Webshells nutzen, um neue Angriffe zu starten.
Die Reaktion und die Tools Onapsis Research Labs
Die Onapsis Research Labs ORL) haben in diesem Blogbeitrag alle wichtigen Hintergrundinformationen zur Sicherheitslücke und den damit verbundenen böswilligen Aktivitäten zusammengefasst, einschließlich einer Liste von IP-Adressen, die bei Angriffen auf diese Sicherheitslücke beobachtet wurden. Darüber hinaus haben die Onapsis Research Labs ORL) einen Open-Source-Scanner für CVE-2025-31324 für alle SAP-Kunden veröffentlicht. Detaillierte Informationen zu CVE-2025-31324 finden Sie hier.
Weiterer Patch für SAP Visual Composer (CVE-2025-31324)
Bei der Analyse des Angriffs im Zusammenhang mit CVE-2025-31324 konnten die Onapsis Research Labs ORL) SAP weitere Informationen zum Verhalten der Angreifer liefern. SAP hat hervorragend reagiert, schnell auf die neuen Informationen reagiert und einen zusätzlichen Patch bereitgestellt, um den Schutz vor dem aktiv in Umlauf befindlichen Exploit zu verbessern. Der SAP-Sicherheitshinweis Nr. 3604119, der mit einem CVSS-Score von 9,1 versehen ist, behebt die entsprechende Sicherheitslücke durch unsichere Deserialisierung. Wir empfehlen dringend, das zugehörige FAQ-Dokument 3605597 und den beigefügten KBA-Hinweis Nr. 3593336 zu lesen. Da beide HotNews-Hinweise, #3594142 und #3604119, nur automatische Korrekturen für SAP NetWeaver Java AS 7.50 bereitstellen, enthält der KBA-Hinweis wichtige Anweisungen für Kunden, die niedrigere Versionen einsetzen.
Aktualisierungen zu früheren HotNews-Meldungen
Die HotNews-Hinweise Nr. 3587115 und Nr. 3581961, die beide mit einem CVSS-Score von 9,9 gekennzeichnet sind, sind Aktualisierungen zu Patches, die ursprünglich am SAP-Patch-Day im April veröffentlicht wurden. Der SAP-Sicherheitshinweis Nr. 3587115 behebt eine Code-Injection-Sicherheitslücke in SAP Landscape Transformation. Das Update enthält nun Patches für die zusätzlichen Softwarekomponentenversionen DMIS 2018 und DMIS 2020. Bei der SAP-Sicherheitsnotiz #3581961 hat SAP lediglich den Titel aktualisiert, um darauf hinzuweisen, dass auch On-Premise-Installationen von S/4HANA von der Sicherheitslücke betroffen sind.
Die Notizen mit hoher Priorität im Detail
Mehrere Sicherheitslücken in SAP Supplier Relationship Management (Live Auction Cockpit)
Der SAP-Sicherheitshinweis Nr. 3578900, der mit einem CVSS-Wert von 8,6 versehen ist, behebt fünf Sicherheitslücken in SAP Supplier Relationship Management (Live Auction Cockpit), wobei vier davon in Zusammenarbeit mit den Onapsis Research Labs ORL) behoben wurden. Die Sicherheitslücken sind in einer veralteten Version des Live Auction Cockpit vorhanden, die auf Java-Applet-Technologie basierte. Sie beeinträchtigen vor allem die Vertraulichkeit der Anwendung. Die veraltete Version des Cockpits wurde als veraltet eingestuft und in SRM_SERVER 7.0 EHP4 SP06 sowie in Neuinstallationen von SRM 7.14 ersetzt. Bei bestehenden Installationen von SRM 7.14 kann die betroffene Softwarekomponente SAP LACWPS 6.0 NW7.3 deinstalliert werden.
Sicherheitslücke durch Code-Injektion in SAP S/4HANA Cloud Edition und On-Premise
Der SAP-Sicherheitshinweis Nr. 3600859, der mit einem CVSS-Wert von 8,3 bewertet wurde, behebt eine Code-Injection-Sicherheitslücke in SAP S/4HANA Cloud Edition und On-Premise. Ein remote-fähiges Funktionsmodul der Anwendung „SCM Master Data Layer“ (MDL) ermöglicht es einem nicht authentifizierten Angreifer, beliebige ABAP-Programme, einschließlich SAP-Standardprogramme, zu ersetzen. Der Patch deaktiviert das Funktionsmodul vollständig.
Offenlegung von Informationen in Platform SAP Business Objects Business Platform
Der SAP-Sicherheitshinweis Nr. 3586013, der mit einem CVSS-Wert von 7,9 bewertet wurde, behandelt eine Sicherheitslücke im Promotion Management Wizard (PMW) der SAP Business Objects Business Intelligence Platform, die zur Offenlegung von Informationen führen kann. Die Verzeichnis- und Dateidialoge ermöglichen den Zugriff auf bestimmte ausführbare Dateien, über die Informationen abgerufen werden können, die ansonsten eingeschränkt zugänglich wären. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit und geringe Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.
Fehlende Berechtigungsprüfung bei der SAP-Landschaftsumstellung (PCL-Basis-Modul)
Der SAP-Sicherheitshinweis Nr. 3591978, der mit einem CVSS-Wert von 7,7 bewertet wurde, wurde von SAP in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. Das Team Onapsis Research Labs ORL) identifizierte im PCL-Basis-Modul von SAP Landscape Transformation ein aus der Ferne aufrufbares Funktionsmodul, bei dem die erforderlichen Berechtigungsprüfungen zur Beschränkung des Zugriffs auf die bereitgestellten Funktionen und Daten fehlten.
Aktualisierung zur fehlenden Berechtigungsprüfung in SAP PDCE
Der SAP-Sicherheitshinweis Nr. 3483344 mit einem CVSS-Wert von 7,7 ist die vierte Aktualisierung eines Patches, der ursprünglich im Juli 2024 in Zusammenarbeit mit Onapsis veröffentlicht wurde. Der Patch, der eine Sicherheitslücke aufgrund fehlender Berechtigungsprüfung in SAP PDCE behebt, ist nun für weitere Softwarekomponenten und Support-Package-Stufen verfügbar.
Beitrag von Onapsis
Neben einer HotNews-Meldung und zwei Meldungen mit hoher Priorität unterstützten die Onapsis Research Labs ORL) SAP bei der Behebung von drei Sicherheitslücken mit mittlerer Priorität.
Offenlegung von Informationen im SAP-Gateway-Client
Der SAP-Sicherheitshinweis Nr. 3577300, der mit einem CVSS-Wert von 6,6 bewertet wurde, behebt eine Sicherheitslücke im SAP Gateway Client, die zur Offenlegung von Informationen führen kann. Die Onapsis Research Labs ORL) haben festgestellt, dass der SAP Gateway Client unter bestimmten Umständen Daten offenlegt, die missbraucht werden könnten, um die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung zu beeinträchtigen.
Informationsbereitstellung in SAP NetWeaver AS ABAP und Platform
Der SAP-Sicherheitshinweis Nr. 3577287, der mit einem CVSS-Wert von 6,2 bewertet wurde, behandelt eine Sicherheitslücke, die zur Offenlegung von Informationen im SAP NetWeaver Application Server ABAP und in Platform führt. Aufgrund unzureichender Eingabevalidierung bei einigen Feldern in der Transaktion SM59 können Angreifer mit Administratorrechten Konfigurationseinstellungen manipulieren. Wenn ein Betroffener auf diese Seite zugreift, werden sensible Informationen wie Benutzeranmeldedaten offengelegt.
Cross-Site-Scripting (XSS) in SAP Supplier Relationship Management
Der SAP-Sicherheitshinweis Nr. 3588455, der mit einem CVSS-Wert von 6,1 bewertet wurde, behebt eine Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Supplier Relationship Management. Aufgrund fehlender Eingabevalidierung im Master Data Management Catalogue können nicht authentifizierte Angreifer bösartige Skripte in der Anwendung ausführen, was geringfügige Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat.
Zusammenfassung und Schlussfolgerungen
Aus dem SAP-Patch-Day im Mai lassen sich zwei Lehren ziehen:
1) Die sofortige Behebung kritischer Sicherheitslücken ist ein MUSS. Es ist mittlerweile gängige Praxis, dass böswillige Aktivitäten beginnen, sobald SAP einen kritischen Patch veröffentlicht. Dazu gehören die Veröffentlichung detaillierter Anleitungen zum Ausnutzen der Schwachstelle sowie das systematische Scannen von SAP-Systemen auf diese Schwachstelle.
2) Die Herausforderungen, die böswillige Akteure mit sich bringen, erfordern die Zusammenarbeit aller Akteure im SAP-Ökosystem: SAP, externe Forschungsunternehmen und SAP-Kunden.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3594142 | Neu | [CVE-2025-31324] Fehlende Autorisierungsprüfung in SAP NetWeaver (Visual Composer-Entwicklungsserver) EP-VC-INF | Aktuelles | 10.0 |
| 3587115 | Aktualisierung | [CVE-2025-31330] Sicherheitslücke durch Code-Injektion in SAP Landscape Transformation (Analysis Platform) CA-LT-ANA | Aktuelles | 9.9 |
| 3581961 | Aktualisierung | [CVE-2025-27429] Sicherheitslücke durch Code-Injektion in SAP S/4HANA (Private Cloud On-Premise) CA-LT-ANA | Aktuelles | 9.9 |
| 3604119 | Neu | [CVE-2025-42999] Unsichere Deserialisierung in SAP NetWeaver (Visual Composer-Entwicklungsserver) EP-VC-INF | Aktuelles | 9.1 |
| 3578900 | Neu | [CVE-2025-30018] Mehrere Sicherheitslücken in SAP Supplier Relationship Management (Live Auction Cockpit) SRM-LA | Hoch | 8.6 |
| 3600859 | Neu | [CVE-2025-43010] Sicherheitslücke durch Code-Injektion in SAP S/4HANA Cloud Edition oder On-Premise (SCM Master Data Layer (MDL)) SCM-BAS-MDL | Hoch | 8.3 |
| 3586013 | Neu | [CVE-2025-43000] Sicherheitslücke mit Offenlegung von Informationen in Platform SAP Business Objects Business Intelligence Platform PMW) BI-BIP-LCM | Hoch | 7.9 |
| 3483344 | Aktualisierung | [CVE-2024-39592] Fehlende Autorisierungsprüfung in der SAP-PDCE- -FIN-BA | Hoch | 7.7 |
| 3591978 | Neu | [CVE-2025-43011] Fehlende Berechtigungsprüfung bei der SAP-Landschaftstransformation (PCL Basis) CA-LT-PCL | Hoch | 7.7 |
| 3577300 | Neu | [CVE-2025-42997] Sicherheitslücke durch Offenlegung von Informationen im SAP Gateway Client OPU-GW-V4 | Mittel | 6.6 |
| 3596033 | Neu | [CVE-2025-43003] Sicherheitslücke durch Offenlegung von Informationen in SAP S/4HANA (Private Cloud On-Premise) CRM-MD-BP | Mittel | 6.4 |
| 2719724 | Neu | [CVE-2025-43007] Fehlende Berechtigungsprüfung im SAP Service Parts Management (SPM) LO-SPM-X | Mittel | 6.3 |
| 2491817 | Neu | [CVE-2025-43009] Fehlende Berechtigungsprüfung im SAP Service Parts Management (SPM) LO-SPM-OUT | Mittel | 6.3 |
| 3577287 | Neu | [CVE-2025-31329] Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Application Server ABAP und Platform BC-MID-RFC | Mittel | 6.2 |
| 3588455 | Neu | [CVE-2025-43006] Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Supplier Relationship Management (Master Data Management Catalog) SRM-CAT-MDM | Mittel | 6.1 |
| 3585992 | Neu | [CVE-2025-43008] Fehlende Berechtigungsprüfung in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal PY-PT | Mittel | 5.8 |
| 3571096 | Neu | [CVE-2025-43004] Sicherheitslücke aufgrund einer Fehlkonfiguration in SAP Digital Manufacturing (Production Operator Dashboard) MFG-DM | Mittel | 5.3 |
| 3446649 | Neu | [CVE-2025-31328] Sicherheitslücke durch Cross-Site Request Forgery (CSRF) in SAP S/4 HANA (Learning Solution) PA-FIO-LSO | Mittel | 4.6 |
| 3558755 | Neu | [CVE-2025-26662] Cross-Site-Scripting-Sicherheitslücke (XSS) in der SAP Data Services Management Console EIM-DS-SVR | Mittel | 4.4 |
| 3574520 | Neu | [CVE-2025-43005] Sicherheitslücke durch Offenlegung von Informationen in SAP GUI für Windows BC-FES-GXT | Mittel | 4.3 |
| 3227940 | Neu | [CVE-2025-43002] Fehlende Autorisierungsprüfung in SAP S/4HANA (OData-Metadaten-Eigenschaft) MM-PUR-SVC-SES | Mittel | 4.3 |
| 3359825 | Neu | [CVE-2025-31327] Manipulation von OData-Metadaten-Eigenschaften in SAP Field Logistics CA-FL-SRV | Mittel | 4.3 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.
Häufig gestellte Fragen
Was ist CVE-2025-31324 und warum ist dies für die SAP-Sicherheit von entscheidender Bedeutung?
CVE-2025-31324 ist eine kritische Sicherheitslücke in SAP Visual Composer, die es nicht authentifizierten Angreifern ermöglicht, beliebige Dateien hochzuladen und betroffene Systeme vollständig zu kompromittieren. Sie weist einen CVSS-Wert von 10,0 auf und wird derzeit aktiv ausgenutzt, weshalb eine sofortige Installation des Patches unerlässlich ist.
Welche SAP-Komponenten sind von CVE-2025-31324 betroffen?
Die Sicherheitslücke betrifft SAP-NetWeaver-Java-Systeme, bei denen die Komponente „Visual Composer“ aktiviert ist. Obwohl diese Komponente nicht immer standardmäßig installiert ist, wird sie in vielen Umgebungen häufig verwendet und ist dort aktiviert.
Inwiefern ist Onapsis an der Behebung von SAP-Sicherheitslücken beteiligt?
Onapsis Research Labs mit SAP neun Sicherheitslücken identifiziert und bei deren Behebung im Rahmen des „Patch Day“ im Mai mitgewirkt, darunter CVE-2025-31324. Onapsis hat zudem einen Open-Source-Scanner veröffentlicht, mit dessen Hilfe SAP-Kunden assess einer Ausnutzung dieser Schwachstelle assess .
Welche Patches oder SAP-Notes beheben diese Zero-Day-Sicherheitslücke?
Der SAP-Sicherheitshinweis Nr. 3594142 behebt die Sicherheitslücke „Fehlende Berechtigungsprüfung“ (CVE-2025-31324). Ein zusätzlicher Patch, der SAP-Hinweis Nr. 3604119, mindert damit verbundene Deserialisierungsrisiken. Kunden sollten außerdem den KBA-Hinweis Nr. 3593336 und den FAQ-Hinweis Nr. 3605597 lesen.
Welches Risiko besteht, wenn die Installation der Patches für diese SAP HotNews-Hinweise hinausgezögert wird?
Das Aufschieben von Patches setzt SAP-Systeme bekannten, aktiv ausgenutzten Sicherheitslücken aus. Angreifer haben bereits Webshells auf ungepatchten Systemen installiert, und Folgeangriffe sind im Gange. Eine umgehende Installation der Patches ist entscheidend, um eine Kompromittierung zu verhindern und die Integrität der SAP-Systeme zu wahren.