Am Patchday im Juli haben die SAP-Entwickler insgesamt fünf "kritische" Sicherheitslücken geschlossen. Im schlimmsten Fall kann Schadcode Systeme kompromittieren. Bislang gibt es keine Hinweise, dass Angreifer Lücken bereits ausnutzen.
In der Warnmeldung zum aktuellen Patchday finden Admins Hinweise auf die verfügbaren Sicherheitsupdates.
Die kritischen Lücken betreffen NetWeaver Enterprise Portal Administration (CVE-2025-42964), NetWeaver Enterprise Portal Federated Portal Network (CVE-2025-42980), S/4HANA und SCM (CVE-2025-42967) sowie NetWeaver Application Server for Java (CVE-2025-42963).
Verfügt ein Angreifer über Privilegien auf Benutzerebene, kann er auf einem nicht näher ausgeführten Weg Schadcode ausführen und so die volle Kontrolle über Systeme erlangen. In den anderen Fällen können angemeldete Angreifer mit Schadcode präparierte Daten hochladen, um Computer zu kompromittieren.
Außerdem können sich bereits angemeldete Angreifer im Kontext von NetWeaver Application Server for ABAP aufgrund von Fehlern bei der Authentifizierung höhere Nutzerrechte verschaffen (CVE-2025-42953).
Wegen eines Fehlers in der Apache-Struts-Komponente können Angreifer auf der Plattform Business Objects Business Intelligence Schadcode hochladen und ausführen (CVE-2025-53677 "hoch"). In Business Warehouse und Plug-in Basis können authentifizierte Angreifer Datenbanktabellen manipulieren und das System dadurch unbenutzbar machen (CVE-2025-42952 "hoch").
Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad "mittel" eingestuft. An diesen Stellen sind unter anderem XSS-Attacken vorstellbar.
Am vergangenen Patchday hat SAP ebenfalls kritische Lücken in NetWeaver geschlossen.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo