SAP-Sicherheitshinweise: Patch-Tag im November 2025
Kritische Sicherheitslücken in SQL Anywhere Monitor und SAP Solution Manager
Zu den wichtigsten Ergebnissen der Analyse der SAP-Sicherheitshinweise vom November gehören:
- Zusammenfassung für November — 26 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und zwei Hinweise mit hoher Priorität
- SQL Anywhere Monitor — Durch fest codierte Anmeldedaten können Angreifer beliebigen Code ausführen
- Onapsis Research Labs — Unser Team hat SAP dabei unterstützt, acht Sicherheitslücken zu beheben, die in sieben SAP-Sicherheitshinweisen behandelt wurden
SAP hat im Rahmen seines Patch Day im November 26 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht, darunter vier HotNews-Hinweise und zwei Hinweise mit hoher Priorität. Sieben der 18 neuen Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht.
Die HotNews -Notizen im Detail
Der SAP-Sicherheitshinweis Nr. 3666261, der mit einem CVSS-Wert von 10,0 versehen ist, behebt eine Sicherheitslücke im Zusammenhang mit unsicherer Schlüssel- und Geheimnismanagement im SQL Anywhere Monitor. Durch fest codierte Anmeldedaten können Angreifer beliebigen Code ausführen. Ein erfolgreicher Angriff stellt ein hohes Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit des Systems dar. Der Patch entfernt den SQL Anywhere Monitor vollständig. Als vorübergehende Abhilfe empfiehlt SAP, die Nutzung des SQL Anywhere Monitors einzustellen und alle Instanzen der SQL Anywhere Monitor-Datenbank zu löschen.
Der zweite neue HotNews-SAP-Sicherheitshinweis behebt eine Code-Injection-Sicherheitslücke im SAP Solution Manager. Aufgrund fehlender Eingabevalidierung in einem remote-fähigen Funktionsbaustein können authentifizierte Angreifer bösartigen Code in das System einschleusen. Der SAP-Sicherheitshinweis Nr . 3668705, der mit einem CVSS-Score von 9,9 bewertet wurde, behebt diese Sicherheitslücke durch Hinzufügen einer Eingabeprüfung, die die meisten nicht-alphanumerischen Zeichen zurückweist.
Der SAP-Sicherheitshinweis Nr. 3660659, der mit einem CVSS-Wert von 10,0 versehen ist, wurde ursprünglich in Zusammenarbeit mit Onapsis am SAP-Patch-Day im Oktober veröffentlicht. Der Patch blockiert anfällige JDK- und Drittanbieterklassen in SAP NetWeaver AS Java, um die Ausnutzung von Schwachstellen durch unsichere Deserialisierung zu verhindern. SAP hat einen Hinweis zu den Voraussetzungen hinzugefügt und den Abschnitt zu den Workarounds neu strukturiert.
Der SAP-Sicherheitshinweis Nr. 3647332, der mit einem CVSS-Wert von 9,0 versehen ist, wurde ursprünglich ebenfalls im Oktober in Zusammenarbeit mit Onapsis veröffentlicht. Die behobene Sicherheitslücke in SAP Supplier Relationship Management ermöglicht es einem authentifizierten Angreifer, beliebige Dateien hochzuladen, die Malware enthalten könnten. SAP hat den Hinweis mit erweiterten Informationen zur Gültigkeit aktualisiert.
Die Notizen mit hoher Priorität im Detail
Der SAP-Sicherheitshinweis Nr. 3633049, der mit einem CVSS-Wert von 7,5 versehen ist, behebt eine Sicherheitslücke in SAP CommonCryptoLib, die zu einer Speicherbeschädigung führen kann. Fehlende Grenzwertprüfungen ermöglichen es einem Angreifer, schädliche Daten zu senden, was zu einer Speicherbeschädigung und anschließend zu einem Anwendungsabsturz führen kann. Das Problem ist ab CommonCryptoLib 8.5.60 behoben. Der Hinweis weist darauf hin, dass einige Komponenten CommonCryptoLib enthalten, und verweist für die jeweiligen Patch-Levels auf den SAP-Hinweis Nr. 3628110. Ein weiterer KBA-Hinweis ist in Vorbereitung (SAP-Hinweis Nr. 3677814).
Der SAP-Sicherheitshinweis Nr . 3664466 enthält aktuelle Informationen zu einer Denial-of-Service-Sicherheitslücke in Cloud SAP Commerce Cloud. Der Hinweis ist mit einem CVSS-Wert von 7,5 versehen und umfasst Änderungen in den Abschnitten „Symptom“, „Ursache und Voraussetzungen“ sowie „Lösung“.
Beitrag von Onapsis
Erneut konnten die Onapsis Research Labs ORL) einen wesentlichen Beitrag zum SAP Patch Day leisten. In Zusammenarbeit mit den ORL wurden heute nicht weniger als sieben SAP-Sicherheitshinweise veröffentlicht, darunter vier Patches für den SAP Business Connector.
Der SAP Business Connector (BC) ist eine relativ alte Komponente, die unabhängig vom SAP-System installiert und verwaltet werden kann. SAP BC ermöglicht die Erweiterung von Geschäftsprozessen über das Internet und die Integration von Nicht-SAP-Produkten unter Verwendung offener Standards. Es wurde erstmals 1999 veröffentlicht und inzwischen durch neuere Technologien wie SAP Process Orchestration und SAP CLoud Platform abgelöst. Doch die Tatsache, dass das Ende der Wartung wiederholt vom Ende 2020 auf das Ende 2030 verschoben wurde, zeigt, dass es nach wie vor sehr beliebt und weit verbreitet ist.
Der SAP-Sicherheitshinweis Nr. 3665900, der mit einem CVSS-Wert von 6,8 bewertet wurde, behebt eine Sicherheitslücke im Zusammenhang mit der Einschleusung von Betriebssystembefehlen in SAP BC. Die Sicherheitslücke ermöglicht es einem authentifizierten Angreifer mit Administratorrechten und angrenzendem Netzwerkzugriff, speziell gestaltete Inhalte auf den Server hochzuladen. Werden diese Inhalte von der Anwendung verarbeitet, ist die Ausführung beliebiger Betriebssystembefehle möglich, was zu einer vollständigen Kompromittierung des Systems führt.
Der SAP-Sicherheitshinweis Nr. 3666038, der mit einem CVSS-Wert von 6,8 versehen ist, behebt eine vom ORL-Team entdeckte Path-Traversal-Sicherheitslücke. Das Team stellte fest, dass ein als Administrator authentifizierter Angreifer mit angrenzendem Zugriff beliebige Dateien auf dem Hostsystem lesen, schreiben, überschreiben und löschen konnte. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, beliebige Betriebssystembefehle auf dem Server auszuführen, was zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems führen würde.
Der SAP-Sicherheitshinweis Nr. 3665907, der mit einem CVSS-Wert von 6,1 versehen ist, behandelt eine Reflected-Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP BC. Wird diese Lücke nicht behoben, könnte ein nicht authentifizierter Angreifer einen bösartigen Link generieren und diesen öffentlich zugänglich machen. Wenn ein authentifiziertes Opfer anschließend auf den Link zugreift, wird die eingeschleuste Eingabe bei der Generierung der Webseite verarbeitet und der bösartige Inhalt im Browserkontext des Opfers ausgeführt.
Eine Open-Redirect-Sicherheitslücke in SAP BC wurde von SAP in Zusammenarbeit mit dem ORL-Team mit dem SAP-Sicherheitshinweis Nr. 3662000 behoben, der mit einem CVSS-Score von 6,1 bewertet wurde. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, eine bösartige URL zu erstellen, die das Opfer, wenn es darauf zugreift, auf eine vom Angreifer kontrollierte Website umleitet, die in einem eingebetteten Frame angezeigt wird. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, sensible Informationen zu stehlen und unbefugte Aktionen durchzuführen, was die Vertraulichkeit und Integrität von Web-Client-Daten teilweise beeinträchtigt.
Das ORL-Team hat eine JNDI-Injection-Sicherheitslücke im SAP NetWeaver Enterprise Portal entdeckt, die durch den SAP-Sicherheitshinweis Nr. 3660969 behoben wurde und mit einem CVSS-Wert von 6,5 bewertet ist. Nicht authentifizierte Angreifer können JNDI-Umgebungseigenschaften einfügen oder eine URL übergeben, die bei JNDI-Lookup-Vorgängen verwendet wird, wodurch sie Zugriff auf einen unbeabsichtigten JNDI-Anbieter erhalten. Dies könnte zur Offenlegung oder Änderung von Informationen über den Server führen.
Unser Team hat in der SAP S/4HANA-Landschaft SAP E-Recruiting BSP mehrere Schwachstellen vom Typ „Open Redirect“ entdeckt. Diese ermöglichen es einem nicht authentifizierten Angreifer, bösartige Links zu erstellen. Wenn ein Opfer auf diese Links klickt, könnte es auf eine vom Angreifer kontrollierte Seite weitergeleitet werden. Das Problem wurde mit dem SAP-Sicherheitshinweis Nr. 3642398 behoben, der mit einem CVSS-Wert von 6,1 bewertet wurde.
Eine Sicherheitslücke durch fehlende Authentifizierung in SAP HANA 2.0 (hdbrss) wird durch den SAP-Sicherheitshinweis Nr. 3639264 behoben, der mit einem CVSS-Wert von 5,8 bewertet wurde. Unser Team hat festgestellt, dass die Anwendung es einem nicht authentifizierten Angreifer ermöglicht, eine remote-fähige Funktion aufzurufen, durch die er Informationen einsehen kann, was geringe Auswirkungen auf die Vertraulichkeit hat.
Zusammenfassung und Schlussfolgerungen
Der SAP Patch Day im November bringt kritische Patches für SQL Anywhere Monitor und SAP Solution Manager mit sich. Mit sieben SAP-Sicherheitshinweisen Onapsis Research Labs die Onapsis Research Labs erneut einen wesentlichen Beitrag zum Schutz aller SAP-Kunden geleistet.
| SAP-Hinweis | Typ | Beschreibung | Priorität | CVSS |
| 3666261 | Neu | [CVE-2025-42890] Sicherheitslücke bei der unsicheren Verwaltung von Schlüsseln und Geheimnissen in SQL Anywhere Monitor (Non-GUI) BC-SYB-SQA-ADM | Aktuelles | 10 |
| 3660659 | Aktualisierung | [CVE-2025-42944] Sicherheitsverbesserung zur Behebung einer unsicheren Deserialisierung in SAP NetWeaver AS Java BC-JAS-COR | Aktuelles | 10 |
| 3668705 | Neu | [CVE-2025-42887] Sicherheitslücke durch Code-Injektion in SAP Solution Manager SV-SMG-SVD-SWB | Aktuelles | 9.9 |
| 3647332 | Aktualisierung | [CVE-2025-42910] Sicherheitslücke beim uneingeschränkten Hochladen von Dateien in SAP Supplier Relationship Management SRM-UIA-SHP-BD | Aktuelles | 9 |
| 3633049 | Neu | [CVE-2025-42940] Sicherheitslücke durch Speicherbeschädigung in SAP CommonCryptoLib BC-IAM-SSO-CCL | Hoch | 7.5 |
| 3664466 | Aktualisierung | [CVE-2025-5115] Denial-of-Service-Angriff (DOS) in SAP Commerce Cloud Suche und Navigation) CEC-SCC-COM-SRC-SER | Hoch | 7.5 |
| 3643385 | Neu | [CVE-2025-42895] Sicherheitslücke durch Code-Injektion im SAP-HANA-JDBC-Client HAN-DB-CLI | Mittel | 6.9 |
| 3665900 | Neu | [CVE-2025-42892] Sicherheitslücke durch OS-Befehlsinjektion in SAP Business Connector BC-MID-BUS | Mittel | 6.8 |
| 3666038 | Neu | [CVE-2025-42894] Path-Traversal-Sicherheitslücke im SAP Business Connector BC-MID-BUS | Mittel | 6.8 |
| 3660969 | Neu | [CVE-2025-42884] JNDI-Injection-Sicherheitslücke in SAP NetWeaver Enterprise Portal EP-PIN-APF-CAT | Mittel | 6.5 |
| 3642398 | Neu | [CVE-2025-42924] Open-Redirect-Schwachstellen in der SAP-S/4HANA-Landschaft (SAP E-Recruiting BSP) PA-ER | Mittel | 6.1 |
| 3662000 | Neu | [CVE-2025-42893] Open-Redirect-Sicherheitslücke im SAP Business Connector BC-MID-BUS | Mittel | 6.1 |
| 3665907 | Aktualisierung | [CVE-2025-42886] Reflektierte Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP Business Connector BC-MID-BUS | Mittel | 6.1 |
| 3597355 | Aktualisierung | [CVE-2025-42942] Cross-Site-Scripting-Sicherheitslücke (XSS) im SAP NetWeaver Application Server für ABAP- BC-MID-ICF | Mittel | 6.1 |
| 3639264 | Neu | [CVE-2025-42885] Fehlende Authentifizierung in SAP HANA 2.0 (hdbrss) HAN-DB-ENG | Mittel | 5.8 |
| 3651097 | Neu | [CVE-2025-42888] Sicherheitslücke mit Informationspreisgabe in SAP GUI für Windows BC-FES-GUI | Mittel | 5.5 |
| 2886616 | Neu | [CVE-2025-42889] SQL-Injection-Sicherheitslücke in der SAP Starter Solution (PL SAFT) FI-LOC-SAF-PL | Mittel | 5.4 |
| 3441087 | Aktualisierung | [CVE-2025-42984] Fehlende Autorisierungsprüfung in SAP S/4HANA (Anwendung „Zentralen Einkaufsvertrag verwalten“) MM-PUR-HUB-CTR | Mittel | 5.4 |
| 3643603 | Neu | [CVE-2025-42919] Sicherheitslücke mit Informationspreisgabe im SAP NetWeaver Application Server Java- , BC-JAS-WEB | Mittel | 5.3 |
| 3652901 | Neu | [CVE-2025-42897] Sicherheitslücke durch Offenlegung von Informationen in SAP Business One (SLD) SBO-BC-SLD | Mittel | 5.3 |
| 3627644 | Aktualisierung | [CVE-2025-42911] Fehlende Berechtigungsprüfung in SAP NetWeaver (Service Data Download) SV-SMG-SDD | Mittel | 5 |
| 3643337 | Neu | [CVE-2025-42882] Fehlende Autorisierungsprüfung im SAP NetWeaver Application Server für ABAP- , BC-DB-DB6 | Mittel | 4.3 |
| 3530544 | Neu | [CVE-2025-42899] Fehlende Berechtigungsprüfung in SAP S4CORE (Journalbuchungen verwalten) FI-FIO-GL-TRA | Mittel | 4.3 |
| 3617142 | Aktualisierung | [CVE-2025-31672] Deserialisierungsschwachstelle in SAP BusinessObjects (Web Intelligence und Platform ) BI-RA-WBI | Niedrig | 3.5 |
| 3426825 | Neu | [CVE-2025-23191] Cache-Poisoning durch eine Schwachstelle bei der Header-Manipulation in SAP Fiori für SAP-ERP OPU-GW-COR | Niedrig | 3.1 |
| 3634053 | Neu | [CVE-2025-42883] Sicherheitslücke durch unsichere Dateioperationen im SAP NetWeaver Application Server für ABAP (Migration Workbench) BC-SRV-DX-DXW | Niedrig | 2.7 |
Wie immer Onapsis Research Labs bereits Onapsis Research Labs , die Platform zu aktualisieren und die neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden ihre Unternehmen schützen können.
Um sich über die strategische Bedeutung dieses monatlichen Patch-Zyklus und den Prozess der kontinuierlichen Behebung von Sicherheitslücken zu informieren, lesen Sie unseren vollständigen Überblick zum SAP Patch Day.
Wenn Sie mehr über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen, abonnieren Sie unseren monatlichen „Defender’s Monthly Newsletter“.