SAP Basis & Security SAP Patch Day Dezember 2025

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Solution Manager

Produkt: SAP Solution Manager Version - ST 720

• Es besteht eine kritische Code-Injection-Schwachstelle in SAP Solution Manager, die es einem authentifizierten Angreifer ermöglicht, eine Sicherheitslücke in einem remote-fähigen Funktionsbaustein auszunutzen. Aufgrund fehlender Eingabebereinigung kann der Angreifer schädlichen Code einfügen und somit potenziell die vollständige Kontrolle über das System erlangen.
• Diese Sicherheitslücke ermöglicht das Einschleusen von Code über manipulierte Eingaben, wodurch wesentliche Sicherheitsprüfungen umgangen werden können. Dies kann zu einem vollständigen Systemkompromiss führen und stellt ein erhebliches Risiko für produktive Landschaften dar.
• Es ist kein Workaround für diese Schwachstelle verfügbar. SAP empfiehlt dringend, die im Sicherheitshinweis beschriebenen Korrekturanleitungen oder die entsprechenden Support Packages einzuspielen.

Kritisch (Hot News): Mehrere Schwachstellen in Apache Tomcat in SAP Commerce Cloud

Produkt: SAP Commerce Cloud, Version - HY_COM 2205, COM_CLOUD 2211, COM_CLOUD 2211-JDK21

• In SAP Commerce Cloud bestehen mehrere Schwachstellen, die durch die Nutzung einer anfälligen Apache-Tomcat-Version verursacht werden. Diese Sicherheitslücken ermöglichen potenziell Konsolenmanipulationsangriffe über speziell gestaltete URLs (CVE-2025-55754) sowie Directory-Traversal-Angriffe (CVE-2025-55752). Unter den in den CVEs beschriebenen Voraussetzungen können Angreifer die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich beeinträchtigen.
• Die Schwachstellen sind auf eine unzureichende Neutralisierung von Eingaben sowie Pfadverarbeitungsfehler in der betroffenen Apache-Tomcat-Version zurückzuführen. Dadurch besteht das Risiko, dass Angreifer unbefugte Systembereiche aufrufen oder schädliche Anfragen an die Anwendung übermitteln können.
• Es ist kein Workaround verfügbar. SAP stellt jedoch aktualisierte Patches bereit, welche die betroffene Tomcat-Version durch sichere, nicht verwundbare Varianten ersetzen. Die folgenden Releases enthalten die entsprechenden Korrekturen: SAP Commerce Cloud Patch-Release 2205.45, SAP Commerce Cloud Update-Release 2211.47, SAP Commerce Cloud Update-Release 2211-jdk21.5
• Nach der Installation eines Patches müssen Kunden die aktualisierte SAP-Commerce-Cloud-Version neu generieren und erneut deployen, um die Sicherheitskorrekturen vollständig wirksam werden zu lassen.

Kritisch (Hot News): Deserialization in SAP jConnect – SDK für ASE

Produkt: SAP jConnect - SDK for ASE, Version: SYBASE_SOFTWARE_DEVELOPER_KIT 16.0.4, 16.1

• Es besteht eine kritische Deserialization-Schwachstelle in SAP jConnect, die es einem Benutzer mit hohen Berechtigungen ermöglicht, speziell gestaltete Eingaben zu nutzen, um eine Remote-Codeausführung (RCE) auszulösen. Diese Schwachstelle kann großen Schaden anrichten, da sie die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich beeinträchtigt.
• Die Ursache liegt in der unzureichenden Validierung von Eingaben, die von SAP jConnect akzeptiert wurden. Dies ermöglichte es Angreifern, nicht unterstützte oder beliebige Werte zu übergeben, die während der Deserialisierung zu schädlichen Operationen führen konnten.
• Für diese Schwachstelle steht kein Workaround zur Verfügung. SAP empfiehlt daher dringend, die im Hinweis genannten korrigierten Patch-Versionen einzuspielen, welche die Serialisierung und Deserialisierung potenziell gefährlicher Eingaben deaktivieren und damit eine Remote-Codeausführung verhindern. Die folgenden Versionen enthalten die erforderlichen Sicherheitskorrekturen: SDK for SAP ASE 16.0 SP04 PL08, SDK für SAP ASE 16.1 SP00 PL01 HF1

Hoch (High): Schwachstelle bezüglich der Offenlegung sensibler Daten in SAP Web Dispatcher und Internet Communication Manager (ICM)

Produkt: SAP Web Dispatcher and Internet Communication Manager (ICM), Version: - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, WEBDISP 7.22_EXT, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16

• In SAP Web Dispatcher und dem Internet Communication Manager (ICM) können interne Testschnittstellen aktiviert sein, die nicht für den produktiven Einsatz vorgesehen sind. Wenn diese Parameter gesetzt sind, können nicht authentifizierte Angreifer auf Diagnosefunktionen zugreifen, gezielte Anforderungen senden oder Dienste unterbrechen. Die Schwachstelle hat große Auswirkungen auf die Vertraulichkeit und Verfügbarkeit der betroffenen Systeme.
• Ursache ist der interne Parameter *icm/HTTP/icm_test_<x>*, der ausschließlich für SAP-interne Tests gedacht ist. Wenn er jedoch in Kundenlandschaften versehentlich oder fälschlicherweise gesetzt wurde, eröffnet er Angreifern die Möglichkeit, diese Testfunktionen zu missbrauchen. Betroffen sind eigenständige Web-Dispatcher-Installationen, der Web Dispatcher in SAP HANA Extended Application Services (XSC/XSA) sowie der ICM in SAP NetWeaver Application Server ABAP und Java.
• Ein Workaround steht nicht zur Verfügung. SAP empfiehlt dringend, alle icm/HTTP/icm_test_<x>-Parameter aus den System- und Instanzprofilen zu entfernen. Dazu gehören auch Varianten wie icm/HTTP/icm_test_0, icm/HTTP/icm_test_1 usw. Nach dem Entfernen dieser Parameter muss der Web Dispatcher bzw. der Anwendungsserver neu gestartet werden, damit die Änderungen wirksam werden.

Hoch (High): Denial-of-Service-Schwachstelle (DOSin SAP NetWeaver (Remote-Service für Xcelsius)

Produkt: SAP NetWeaver (remote service for Xcelsius), Version - BI-BASE-E 7.50, BI-BASE-B 7.50, BI-IBC 7.50, BI-BASE-S 7.50, BIWEBAPP 7.50

• Im SAP-NetWeaver-Remote-Service für Xcelsius besteht eine Schwachstelle, die es einem Angreifer mit Netzwerkzugriff und hohen Berechtigungen ermöglicht, aufgrund unzureichender Eingabevalidierung und fehlerhafter Verarbeitung von Remote-Methodenaufrufen beliebigen Code im betroffenen System auszuführen. Eine Benutzerinteraktion ist nicht erforderlich. Dies kann zu Serviceunterbrechungen, unkontrolliertem Ressourcenverbrauch und nicht autorisierter Systemsteuerung führen. Die Schwachstelle wirkt sich erheblich auf Integrität und Verfügbarkeit aus, jedoch nicht auf die Vertraulichkeit.
• Die Ursache liegt im weiterhin vorhandenen Remote-Service, der für das nicht mehr unterstützte Produkt Xcelsius vorgesehen war. Da dieser Dienst auf veralteten Technologien basiert, stellt er ein unnötiges Risiko dar, insbesondere in produktiven Business-Intelligence-Landschaften.
• SAP stellt eine Korrektur bereit, welche den betroffenen Remote-Service vollständig entfernt. Die notwendigen Support Packages oder Patches müssen gemäß den Angaben im Hinweis eingespielt werden. Für SAP NetWeaver BI Java 7.50 stehen entsprechende BI-Java-Patches bereit; ergänzende Informationen finden Sie in den Hinweisen 3539090, 1512355 und 1506722.
• Als temporäre Behelfslösung können manuelle Schritte ausgeführt werden, wie im Sicherheitshinweis beschrieben. Diese Maßnahmen stellen jedoch keine dauerhafte Absicherung dar. SAP empfiehlt dringend, die finalen Korrekturen einzuspielen, sobald diese verfügbar sind.

Hoch (High): Denial-of-Service-Schwachstelle (DOS) in SAP Business Objects

Produkt: SAP Business Objects, Version – ENTERPRISE 430, 2025, 2027

• In SAP Business Objects besteht eine Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglicht, den Service durch unsachgemäße Verarbeitung eingehender Anfragen zu überlasten. Aufgrund unzureichender Ressourcenbegrenzung kann der Dienst vollständig blockiert werden, was rechtmäßige Benutzer am Zugriff hindert und zu erheblichen Verzögerungen oder Serviceunterbrechungen führt. Die Schwachstelle beeinträchtigt ausschließlich die Verfügbarkeit des Systems; Vertraulichkeit und Integrität bleiben unberührt.
• Die Ursache liegt in einer unzureichenden Verwaltung von eingehenden Anfragen und der damit verbundenen Ressourcennutzung. Angreifer können durch massenhaft oder gezielt manipulierte Anfragen einen Zustand herbeiführen, in dem Ressourcen wie Speicher oder Verarbeitungskapazität erschöpft werden.
• SAP behebt dieses Problem durch die Aktualisierung betroffener Drittanbieterkomponenten, wodurch ein gehärtetes Ressourcenmanagement sowie Schutzmechanismen gegen unkontrollierten Ressourcenverbrauch umgesetzt werden. Kunden sollten die im Hinweis beschriebenen Patches aus dem Abschnitt „Support Packages & Patches“ einspielen.
• Weitere Informationen zu Wartungszyklen und zur Wartungsstrategie der Business-Intelligence-Plattform finden Sie im Wissensdatenbankartikel 2144559.

Hoch (High): Speicherbeschädigungs-Schwachstelle in SAP Web Dispatcher, Internet Communication Manager und SAP Content Server

Produkt: SAP Web Dispatcher, Internet Communication Manager and SAP Content Server, Version - KRNL64UC 7.53, WEBDISP 7.53, 7.54, XS_ADVANCED_RUNTIME 1.00, SAP_EXTENDED_APP_SERVICES 1, CONTSERV 7.53, 7.54, KERNEL 7.53, 7.54

• In SAP Web Dispatcher, dem Internet Communication Manager (ICM) sowie dem SAP Content Server besteht eine Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglicht, logische Fehler in der Speicherbehandlung auszunutzen. Dies kann zu Speicherbeschädigungen wie Buffer overflow oder null pointer dereferences führen und hat erhebliche Auswirkungen auf die Verfügbarkeit der betroffenen Systeme.
• Betroffen ist der ICM im SAP NetWeaver Application Server ABAP und Java. Der SAP Web Dispatcher im erweiterten HANA-XSA-Modell ist in Versionen unterhalb von 1.4.0 anfällig. Der Web Dispatcher im klassischen HANA-XSC-Modell ist hingegen nicht betroffen.
• SAP behebt die Schwachstelle durch aktualisierte Kernel- und Komponenten-Patches, welche die Speicherbehandlungslogik korrigieren. Je nach Einsatzszenario sind unterschiedliche Patch-Archive zu berücksichtigen: SAPWEBDISP.SAR für den eigenständigen SAP Web Dispatcher dw.sar oder SAPEXE.SAR / SAPEXEDB.SAR für ICM und eingebettete Web-Dispatcher-Instanzen SAPCS.SAR für den SAP Content Server
• Kunden sollten den jeweils neuesten Kernel-Patch-Level einspielen, da dieser alle zuvor ausgelieferten Korrekturen enthält. Für XSA-Umgebungen ist ein Update auf Version 1.4.0 oder höher erforderlich. Beim SAP Content Server erfolgt die Aktualisierung durch Austausch der ausführbaren Dateien gemäß den Installationsanweisungen für das jeweilige Betriebssystem.
• Es ist keine Behelfslösung verfügbar. Die Korrekturen sollten zeitnah eingespielt werden, um die Systemverfügbarkeit sicherzustellen.

Hoch (High): Fehlende Berechtigungsprüfung in SAP S/4HANA Private Cloud (Financials General Ledger)

Produkt: SAP S/4 HANA Private Cloud (Financials General Ledger), Version - S4CORE 104, 105, 106, 107, 108, 109

• In SAP S/4HANA Private Cloud (Financials General Ledger) besteht eine Schwachstelle, durch die ein authentifizierter Angreifer mit auf einen einzelnen Buchungskreis beschränkten Berechtigungen sensible Daten einsehen sowie Belege buchungskreisübergreifend buchen oder ändern kann. Aufgrund der fehlenden Berechtigungsprüfung werden Zugriffsbeschränkungen nicht korrekt durchgesetzt. Dies beeinträchtigt die Vertraulichkeit in hohem Maße und die Integrität in geringem Maße. Die Verfügbarkeit der Anwendung bleibt unberührt.
• Ursache der Schwachstelle ist ein Programmfehler, der im Zuge einer Änderung der ECS-Logik eingeführt wurde und bestimmte Zugriffskontrollen außer Kraft setzte.
• SAP stellt Korrekturanleitungen und Support Packages zur Verfügung, die sicherstellen, dass die Berechtigungsprüfungen in den betroffenen Funktionen wieder ordnungsgemäß ausgeführt werden. Unternehmen sollten diese Korrekturen zeitnah einspielen, um unbefugte Datenzugriffe und buchungskreisübergreifende Aktivitäten zu verhindern.
• Als temporäre Behelfslösung können die Änderungen aus SAP-Hinweis 3673002 übernommen werden. Diese stellt jedoch keine dauerhafte Absicherung dar. SAP empfiehlt ausdrücklich, die finalen Korrekturen aus Hinweis 3672151 zu implementieren.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken des SAP Patch Day Dezember finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.