SAP begeht den ersten Patchdays des noch jungen Jahres 2025 und kümmert sich um 14 Sicherheitslücken in mehreren Produkten. Davon haben zwei die höchste Risikoeinstufung "kritisch" erhalten. IT-Verantwortliche sollten daher die bereitstehenden Aktualisierungen so schnell wie möglich installieren.
Anzeige
In der Patchday-Übersicht von SAP listet der Hersteller die einzelnen Sicherheitsmitteilungen auf. Angemeldete Nutzer können in SAP NetWeaver Application Server for ABAP and ABAP Platform unberechtigt Zugriff aufs System erlangen, da unzureichende Authentifizierungsprüfungen eine Ausweitung der Rechte ermöglichen (CVE-2025-0070, CVSS 9.9, Risiko "kritisch"). Zudem können Angreifer unter nicht genannten, bestimmten Bedingungen in SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework) unbefugt auf sensible Informationen zugreifen, was auf "schwache Zugriffskontrollen" zurückzuführen ist (CVE-2025-0066, CVSS 9.9, kritisch).
Außerdem stufen die Entwickler drei weitere Schwachstellen als hohes Risiko ein. Sie finden sich in SAP NetWeaver AS for ABAP and ABAP Platform, SAP BusinessObjects Business Intelligence Platform sowie in SAPSetup. Auch hierfür sollten Admins zügig die verfügbaren Aktualisierungen anwenden.
Die einzelnen Sicherheitslecks in SAP-Produkten, die am Januar-Patchday behandelt werden, im Überblick:
Improper Authentication in SAP NetWeaver ABAP Server and ABAP Platform CVE-2025-0070, CVSS 9.9, kritischInformation Disclosure vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform(Internet Communication Framework) CVE-2025-0066, CVSS 9.9, kritischSQL Injection vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform CVE-2025-0063, CVSS 8.8, hochMultiple vulnerabilities in SAP BusinessObjects Business Intelligence Platform CVE-2025-0061, CVSS 8.7, hoch; CVE-2025-0060, CVSS 6.5, mittelDLL Hijacking vulnerability in SAPSetup CVE-2025-0069, CVSS 7.8, hochInformation Disclosure vulnerability in SAP Business Workflow and SAP Flexible Workflow CVE-2025-0058, CVSS 6.5, mittelMissing Authorization check in SAP NetWeaver Application Server Java CVE-2025-0067, CVSS 6.3, mittelInformation Disclosure vulnerability in SAP GUI for Windows CVE-2025-0055, CVSS 6.0, mittelInformation Disclosure vulnerability in SAP GUI for Java CVE-2025-0056, CVSS 6.0, mittelInformation Disclosure vulnerability in SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML) CVE-2025-0059, CVSS 6.0, mittelInformation Disclosure Vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform CVE-2025-0053, CVSS 5.3, mittelCross-Site Scripting vulnerability in SAP NetWeaver AS JAVA (User Admin Application) CVE-2025-00578, CVSS 4.8, mittelMissing Authorization check in Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP CVE-2025-0068, CVSS 4.3, mittelMultiple Buffer overflow vulnerabilities in SAP BusinessObjects Business Intelligence Platform (Crystal Reports for Enterprise) CVE-2024-29133, CVSS 2.2, niedrig; CVE-2024-29131, kein CVSS, niedrigIm Dezember vergangenen Jahres hatte SAP neun neu entdeckte Sicherheitslücken behandelt. Zudem haben die Entwickler des Unternehmens dort vier ältere Sicherheitsmitteilungen mit neuen Informationen aktualisiert.