SAP hat am Dienstag dieser Woche die Sicherheitsmitteilungen zum April-Patchday veröffentlicht. Insgesamt behandelt das Walldorfer Unternehmen in 18 Security-Bulletins Schwachstellen. Davon gelten drei als kritisches Sicherheitsrisiko, vier hingegen als hohes.
In der Patchday-Übersicht listet SAP die einzelnen Mitteilungen auf. Tief in die Details gehen die Beschreibungen dort nicht, die finden Admins nach Log-in in ihren SAP-Account unter der von SAP verlinkten Notiz-Nummer.
Durch die kritischen Sicherheitslücken können Angreifer Schadcode in SAP S/4HANA (Private Cloud) (CVE-2025-27429, CVSS 9.9, Risiko "kritisch") sowie SAP Landscape Transformation (Analysis Platform) (CVE-2025-31330, CVSS 9.9, Risiko "kritisch") einschleusen und ausführen. Bösartige Akteure können zudem die Authentifizierung in SAP Financial Consolidation umgehen (CVE-2025-30016, CVSS 9.8, Risiko "kritisch").
IT-Verantwortliche sollten prüfen, ob die in ihren Netzwerken eingesetzte Software unter den von Schwachstellen betroffenen Programmen findet, und zügig die bereitstehenden Updates installieren. Die aktuellen Sicherheitsmeldungen von SAP nach Risikoeinstufung sortiert:
Code Injection Vulnerability in SAP S/4HANA (Private Cloud), CVE-2025-27429, CVSS 9.9, Risiko "kritisch"Code Injection Vulnerability in SAP Landscape Transformation (Analysis Platform), CVE-2025-31330, CVSS 9.9, kritischAuthentication Bypass Vulnerability in SAP Financial Consolidation, CVE-2025-30016, CVSS 9.8, kritischMixed Dynamic RFC Destination vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP, CVE-2025-23186, CVSS 8.5, hochTime-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat within SAP Commerce Cloud, CVE-2024-56337, CVSS 8.1, hochDirectory Traversal vulnerability in SAP Capital Yield Tax Management, CVE-2025-30014, CVSS 7.7, hochDirectory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection), CVE-2025-27428, CVSS 7.7, hochPotential information disclosure vulnerability in SAP Commerce Cloud (Public Cloud), CVE-2025-26654, CVSS 6.8, mittelCode Injection vulnerability in SAP ERP BW Business Content, CVE-2025-30013, CVSS 6.7, mittelInsecure File permissions vulnerability in SAP BusinessObjects Business Intelligence Platform, CVE-2025-31332, CVSS 6.6, mittelInformation Disclosure vulnerability in SAP KMC WPC, CVE-2025-26657, CVSS 5.3, mittelCross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML), CVE-2025-26653, CVSS 4.7, mittelMissing Authorization check in SAP Solution Manager, CVE-2025-30017, CVSS 4.4, mittelOdata meta-data tampering in SAP S4CORE entity, CVE-2025-31333, CVSS 4.3, mittelMissing Authorization check in SAP NetWeaver Application Server ABAP (Virus Scan Interface), CVE-2025-27437, CVSS 4.3, mittelAuthorization Bypass vulnerability in SAP NetWeaver, CVE-2025-31331, CVSS 4.3, mittelInformation Disclosure Vulnerability in SAP Commerce Cloud, CVE-2025-27435, CVSS 4.2, mittelMemory Corruption vulnerability in SAP NetWeaver and ABAP Platform (Application Server ABAP), CVE-2025-30015, CVSS 4.1, mittelAußerdem hat SAP zwei ältere Sicherheitsmitteilungen aktualisiert. Eine betrifft die SAP BusinessObjects Business Intelligence Platform, in der initial im Februar eine hochriskante Lücke entdeckt wurde, die andere eine Server Side Request Forgery (SSRF) in SAP CRM und SAP S/4 HANA mit niedrigem Schweregrad, die ursprünglich im März behandelt wurde.
Im März hatte SAP sich mit 22 Sicherheitsmitteilungen um zahlreiche Sicherheitslücken in der Software aus dem Hause gekümmert. Im Februar war das Aufkommen mit 18 Sicherheitsmitteilungen gleich hoch wie im April, jedoch war dort der höchste Bedrohungsgrad der Schwachstellen das Risiko "hoch".
(
Kommentare