Der August-Patchday von SAP bringt 15 neue Sicherheitsnotizen, die unter anderem kritische und hochriskante Schwachstellen in den Produkten des Unternehmens behandeln. IT-Verantwortliche sollten die bereitgestellten Aktualisierungen zügig anwenden.
Die Übersichtsseite zu den SAP-Patches zählt zudem vier aktualisierte, ältere Notizen auf. Am gravierendsten ist eine Codeschmuggel-Lücke in SAP S/4HANA, die sowohl die On-Premises- als auch die Private-Cloud-Variante betrifft. Angreifer mit Benutzerrechten können einen Fehler im Funktionsmodul missbrauchen, das über RFC angreifbar ist, und dadurch unter Umgehung "essenzieller Autorisierungsprüfungen" beliebigen ABAP-Code ins System einschleusen. Die Schwachstelle funktioniere effektiv als Backdoor mit dem Risiko der vollständigen Kompromittierung des Systems, schreibt SAP in der Schwachstellenbeschreibung (CVE-2025-42957 / EUVD-2025-24203, CVSS 9.9, Risiko "kritisch").
Die Fehlerbeschreibung für eine Sicherheitslücke in SAP Landscape Transformation (SLT) liest sich identisch und erreicht dieselbe Risikoeinstufung (CVE-2025-42950 / EUVD-2025-24206, CVSS 9.9, Risiko "kritisch").
Die Risikoeinstufung "hoch" hat zudem eine Schwachstelle in SAP Business One (SLD) erhalten. Die Autorisierung darin war kaputt und ermöglicht angemeldeten Angreifern die Ausweitung ihrer Rechte (CVE-2025-42951 / EUVD-2025-24205, CVSS 8.8, Risiko "hoch"). Mehrere Lücken in SAP Netweaver erlauben etwa, Komponenten zum Absturz zu bringen und damit einen Denial-of-Service (DoS) zu provozieren (CVE-2025-42976 / EUVD-2025-24201, CVSS 8.1, Risiko "hoch"). Eine Cross-Site-Scripting-Lücke ermöglicht unangemeldeten Angreifern zudem, Links zu erstellen, die bösartigen Code in Netweaver ausführen (CVE-2025-42975 / EUVD-2025-24202, CVSS 6.1, Risiko "mittel").
Weitere Sicherheitslücken mit mittlerem oder niedrigem Schweregrad betreffen zudem SAP S/4HANA (Bank Communication Management), SAP NetWeaver Application Server ABAP, SAP NetWeaver ABAP Platform, SAP NetWeaver Application Server ABAP (Apps basierend auf SAP GUI for HTML), SAP GUI for Windows, SAP NetWeaver AS for ABAP und ABAP Platform(Internet Communication Manager), SAP Cloud Connector und SAP Fiori (Launchpad).
Der SAP-Patchday im Juli fiel deutlich umfangreicher aus: Die Walldorfer veröffentlichten 27 Sicherheitsnotizen, von denen gleich fünf als kritisches Risiko eingeordnete Schwachstellen behandelt haben.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare