In 18 neuen Sicherheitsmitteilungen behandelt SAP im Rahmen des Februar-Patchday neu entdeckte Sicherheitslücken in zahlreichen Produkten. Eine Handvoll davon gilt dem Unternehmen als hohes Risiko. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig herunterladen und installieren.
Anzeige
In der Patchday-Übersicht für den Februar listet SAP die einzelnen Sicherheitsmitteilungen auf. Am schwerwiegendsten stuft SAP eine Schwachstelle in BusinessObjects ein. Sie ermöglicht Angreifern mit Admin-Rechten, geheime Passphrasen zu erstellen oder zu erlangen und damit beliebige User im System auszugeben (CVE-2025-0064, CVSS 8.7, Risiko "hoch").
SAPs Supplier Relationship Management hingegen ist von einer Path-Traversal-Lücke betroffen, die nicht authentifizierten Angreifern das Herunterladen beliebiger Dateien ermöglicht. Diese können damit an sensible Informationen gelangen (CVE-2025-25243, CVSS 8.6, hoch). Im "Node.js"-Paket von SAPS Approuter können bösartige Akteure die Authentifizierung umgehen. Durch das Einschleusen bösartig manipulierter Daten können sie die Sitzung von Opfern übernehmen (CVE-2025-24876, CVSS 8.1, hoch).
Die Sicherheitsmitteilungen lauten im Einzelnen:
Improper Authorization in SAP BusinessObjects Business Intelligence platform (Central Management Console), CVE-2025-0064, CVSS 8.7, Risiko "hoch"Path traversal vulnerability in SAP Supplier Relationship Management (Master Data Management Catalog), CVE-2025-25243, CVSS 8.6, hochAuthentication bypass via authorization code injection in SAP Approuter, CVE-2025-24876, CVSS 8.1, hochMultiple vulnerabilities in SAP Enterprise Project Connection, CVE-2024-38819, CVSS 7.5, hochOpen Redirect Vulnerability in SAP HANA extended application services, advanced model (User Account and Authentication Services), CVE-2025-24868, CVSS 7.1, hochSameSite Defense in Depth not applied for some cookies in SAP Commerce, CVE-2025-24875, CVSS 6.8, mittelMissing Defense in Depth Against Clickjacking in SAP Commerce (Backoffice), CVE-2025-24874, CVSS 6.8, mittelCross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence platform (BI Launchpad), CVE-2025-24867, CVSS 6.1, mittelInsecure Key & Secret Management vulnerability in SAP GUI for Windows, CVE-2025-24870, CVSS 6.0, mittelMultiple vulnerabilities in Apache Solr within SAP Commerce Cloud, CVE-2024-45216, CVE-2024-45217, CVSS 5.5, mittelCross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server Java, CVE-2025-0054] , CVSS 5.4, mittelMissing Authorization check in SAP Fiori Apps Reference Library (My Overtime Requests), CVE-2025-25241, CVSS 5.4, mittelMissing Authorization Check in SAP NetWeaver and ABAP Platform (SDCCN), CVE-2025-23187, CVSS 5.3, mittelInformation Disclosure vulnerability in SAP NetWeaver Application Server ABAP, CVE-2025-23193, CVSS 5.3, mittelInformation Disclosure vulnerability in SAP NetWeaver Application Server Java, CVE-2025-24869, CVSS 4.3, mittelMissing Authorization check in SAP ABAP Platform (ABAP Build Framework), CVE-2025-24872, CVSS 4.3, mittelMissing Authorization check in SAP NetWeaver and ABAP platform (ST-PI), CVE-2025-23190, CVSS 4.3, mittelCache Poisoning through header manipulation vulnerability in SAP Fiori for SAP ERP, CVE-2025-23191, CVSS 3.1, niedrigAm Januar-Patchday hatte SAP 14 Sicherheitslücken mit Updates ausgebessert. Davon galten einige sogar als kritisches Sicherheitsrisiko.