SAP veröffentlicht im Mai 2025 insgesamt 16 neue Sicherheitsmeldungen. Sie behandeln teils kritische Sicherheitslücken in diversen Produkten aus dem Business-Softwarekatalog des Unternehmens.
Der Patchday-Übersicht von SAP lässt sich entnehmen, dass die Entwickler des Unternehmens eine Schwachstelle in SAP Netweaver als kritisches Risiko betrachten. Dazu kommen vier weitere, die einen hohen Bedrohungsgrad tragen.
Die Liste der Sicherheitsmitteilung absteigend nach Schweregrad sortiert:
Insecure Deserialization in SAP NetWeaver (Visual Composer development server), CVE-2025-42999 / EUVD-2025-14349, CVSS 9.1, Risiko "kritisch"Multiple vulnerabilities in SAP Supplier Relationship Management (Live Auction Cockpit), CVE-2025-30018 / EUVD-2025-14337, CVSS 8.6, Risiko "hoch"Code injection vulnerability in SAP S/4HANA Cloud Private Edition or On Premise(SCM Master Data Layer (MDL)), CVE-2025-43010 / EUVD-2025-14339, CVSS 8.3, Risiko "hoch"Information Disclosure Vulnerability in SAP Business Objects Business Intelligence Platform (PMW), CVE-2025-43000 / EUVD-2025-14348, CVSS 7.9, Risiko "hoch"Missing Authorization Check in SAP Landscape Transformation (PCL Basis), CVE-2025-43011 / EUVD-2025-14338, CVSS 7.7, Risiko "hoch"Information Disclosure vulnerability in SAP Gateway Client, CVE-2025-42997 / EUVD-2025-14350, CVSS 6.6, Risiko "mittel"Information Disclosure vulnerability in SAP S/4HANA (Private Cloud & On-Premise), CVE-2025-43003 / EUVD-2025-14346, CVSS 6.4, Risiko "mittel"Missing Authorization check in SAP Service Parts Management (SPM), CVE-2025-43009 / EUVD-2025-14340, CVSS 6.3, Risiko "mittel"Missing Authorization check in SAP Service Parts Management (SPM), CVE-2025-43007 / EUVD-2025-14342, CVSS 6.3, Risiko "mittel"Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform, CVE-2025-31329 / EUVD-2025-14351, CVSS 6.2, Risiko "mittel"Cross-Site Scripting (XSS) vulnerability in SAP Supplier Relationship Management (Master Data Management Catalog), CVE-2025-43006 / EUVD-2025-14343, CVSS 6.1, Risiko "mittel"Missing Authorization check in SAP S/4HANA HCM Portugal and SAP ERP HCM Portugal, CVE-2025-43008 / EUVD-2025-14341, CVSS 5.8, Risiko "mittel"Security Misconfiguration Vulnerability in SAP Digital Manufacturing (Production Operator Dashboard), CVE-2025-43004 / EUVD-2025-14345, CVSS 5.3, Risiko "mittel"Cross-Site Scripting (XSS) vulnerability in the SAP Data Services Management Console, CVE-2025-26662 / EUVD-2025-14356, CVSS 4.4, Risiko "mittel"Missing Authorization check in SAP S4/HANA (OData meta-data property), CVE-2025-43002 / EUVD-2025-14347, CVSS 4.3, Risiko "mittel"Information Disclosure vulnerability in SAP GUI for Windows, CVE-2025-43005 / EUVD-2025-14344, CVSS 4.3, Risiko "mittel"Aktualisiert hat SAP zudem die Meldung zur bereits attackierten, kritischen SAP-Netweaver-Lücke CVE-2025-31324 / EUVD-2025-11987 sowie zu einer bereits im Juli 2024 gemeldeten Schwachstelle in SAP PDCE (CVE-2024-39592 / EUVD-2024-38112, CVSS 7.7, Risiko "hoch").
IT-Verantwortliche sollten prüfen, ob sie verwundbare Software im Einsatz haben, und zügig die bereitstehenden Aktualisierungen anwenden. Dass es eine gute Idee ist, auch für SAP-Software zügig bereitstehende Aktualisierungen anzuwenden, hat jüngst eine kritische Sicherheitslücke in SAP Netweaver belegt. Ende April wurde bekannt, dass die Schwachstelle mit Höchstwertung des Risikos, CVSS 10.0, aktiv im Netz angegriffen wird; trotzdem standen hunderte verwundbare Server im Netz. Derweil laufen offenbar weitere Angriffswellen auf die Schwachstelle CVE-2025-31324 / EUVD-2025-11987.
Der SAP-Patchday im April brachte gleich 18 neue Security-Bulletins quer über das Software-Portfolio des Unternehmens. Darunter waren gleich drei, die als kritisches Risiko eingeordnete Schwachstellen behandelten.
(
Kommentare