Kontakt & Service
Haben Sie Fragen?
040 - 6965850 - 0
info@cpro-ips.com
Jetzt Beratung vereinbaren

In wenigen Schritten einen Beratungs­termin mit unseren Experten buchen.

Anwender Helpdesk

Hilfestellung bei Problemen in Ihren SAP-Systemen.

Webinare

Unser Webinarangebot. Jetzt informieren!

Newsletter

Jetzt Newsletter abonnieren!

SAP Basis & Security SAP Patch Day März 2025

Inhaltsverzeichnis
René Studtmann (Leiter Wartungssupport)
Autor:

René Studtmann (Leiter Wartungssupport)

Bewerten Sie uns
Bewertungen laden ...
Beitrag teilen
Passende Themen
#märz25 #patch

Hoch: Cross-Site Scripting (XSS) Schwachstelle in SAP Commerce (Swagger UI)

Produkt: SAP Commerce (Swagger UI), Version - COM_CLOUD 2211

  • Es besteht eine schwerwiegende Cross-Site Scripting (XSS)-Schwachstelle in SAP Commerce (Swagger UI), die es einem nicht authentifizierten Angreifer ermöglicht, bösartigen Code aus externen Quellen einzuschleusen. Diese Sicherheitslücke kann für XSS-Angriffe ausgenutzt werden.
  • Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit von Daten in SAP Commerce erheblich und wurde mit einem CVSS Score von 8,8 (hoch) bewertet.
  • Die Sicherheitslücke stammt aus der Open-Source-Bibliothek springdoc-openapi-starter, die eine neu verpackte Version der Open-Source-Bibliothek swagger-ui enthält. Diese Version von swagger-ui ist in ihrer vorherigen Konfiguration anfällig für XSS-Angriffe.
  • Wichtig zu beachten ist, dass andere Komponenten von SAP Commerce nicht betroffen sind und für eine erfolgreiche Ausnutzung eine erhebliche Benutzerinteraktion (vom Opfererforderlich ist. Der Angriff ist nicht direkt über URLs möglich.
  • SAP hat die Schwachstelle durch Änderung des von swagger-ui verwendeten Starter-Themes behoben. Durch den Wechsel des Themes wird das Risiko dieses Angriffs beseitigt, indem die Explore-Funktion von Swagger UI, die für den DOM-basierten XSS-Angriff anfällig war, entfernt wird.
  • Als Workaround können Kunden entweder die Verwendung von swagger-ui in SAP Commerce entfernen oder den Zugriff auf Swagger-Konsolen blockieren, z.B. über Firewall-Regeln oder WAF. Beachten Sie, dass dieser Workaround die Möglichkeit entfernt, SAP Commerce APIs über Swagger-Konsolen zu testen und zu verwenden.
  • Mehr dazu finden Sie unter dem Hinweis: 3569602

Hoch: Fehlende Autorisierungsprüfung in SAP NetWeaver (ABAP Class Builder)

Produkt: SAP NetWeaver (ABAP Class Builder), Versionen - SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 914

  • Es besteht eine schwerwiegende Sicherheitslücke durch fehlende Autorisierungsprüfungen im SAP NetWeaver (ABAP Class Builder), die es einem Angreifer ermöglicht, höhere Zugriffsebenen zu erlangen, als vorgesehen, was zu einer Eskalation von Berechtigungen führt.
  • Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich und wurde mit einem CVSS Score von 8,8 (hoch) bewertet.
  • Bei erfolgreicher Ausnutzung kann diese Sicherheitslücke zur Offenlegung hochsensibler Informationen führen. Die Funktionalität des ABAP Class Builders kann in der Transaktion SA38 (Reporting) missbraucht werden.
  • Die bereitgestellte Korrektur schließt die Funktionalität, die auf die ABAP-Entwicklungsumgebung beschränkt sein sollte, von der Ausführung durch die Transaktion SA38 aus.
  • Es ist kein Workaround für diese Sicherheitslücke verfügbar. SAP empfiehlt dringend, die in diesem SAP-Sicherheitshinweis referenzierten Korrekturanweisungen oder Support Packages zu implementieren.
  • Mehr dazu finden Sie unter dem Hinweis: 3563927

Hoch: Mehrere Schwachstellen in Apache Tomcat innerhalb von SAP Commerce Cloud

Produkt: SAP Commerce Cloud, Versionen - HY-COM 2205, COM-CLOUD 2211

  • Es bestehen mehrere Schwachstellen in der von SAP Commerce Cloud verwendeten Version von Apache Tomcat, die für Denial-of-Service-Angriffe (CVE-2024-38286) und nicht überprüfte Fehlerbedingungen (CVE-2024-52316) ausgenutzt werden könnten.
  • Die Hauptschwachstelle wurde mit einem CVSS Score von 8,6 (hoch) bewertet und ermöglicht es einem Angreifer, unter bestimmten Konfigurationen auf jeder Plattform einen OutOfMemoryError zu verursachen, indem der TLS-Handshake-Prozess missbraucht wird.
  • Diese Sicherheitslücke betrifft Apache Tomcat-Versionen, die in SAP Commerce Cloud enthalten sind. Die Schwachstelle wird als "Allocation of Resources Without Limits or Throttling" (Zuweisung von Ressourcen ohne Begrenzung oder Drosselung) klassifiziert.
  • SAP Commerce Cloud behebt diese potenziellen Schwachstellen durch ein Upgrade von Apache Tomcat auf Versionen, die nicht von diesen CVEs betroffen sind. Die folgenden Patches enthalten die verbesserte Konfiguration:

SAP Commerce Cloud Patch Release 2205.36

SAP Commerce Cloud Update Release 2211.37

Nach der Installation eines SAP Commerce Cloud-Patches müssen Kunden die aktualisierte SAP Commerce Cloud-Version neu erstellen und bereitstellen.

  • Mehr dazu finden Sie unter dem Hinweis: 3566851

Hoch: Authentifizierungsumgehung durch Einschleusung von Autorisierungscode in SAP Approuter

Bibliothek: @sap/approuter, Versionen - 2.6.1 bis 16.7.1

  • Es besteht eine schwerwiegende Sicherheitslücke in SAP Approuter vor Version 16.7.2, die unter bestimmten Umständen eine Authentifizierungsumgehung durch Einschleusung von Autorisierungscode (CVE-2025-24876) ermöglicht. Alle SAP Approuter-Bereitstellungen in BTP sind betroffen.
  • Die Schwachstelle wurde mit einem CVSS Score von 8,1 (hoch) bewertet und stellt ein erhebliches Sicherheitsrisiko dar.
  • Dies ist ein Update zu einem Sicherheitshinweis, der ursprünglich im Februar 2025 Patch Day veröffentlicht wurde. Die aktuelle Version (v9) vom 11. März 2025 enthält aktualisierte Informationen zu den Symptomen.
  • Die Korrektur stellt sicher, dass das URL-Protokoll in der Login-Callback-URL gültig ist. SAP empfiehlt dringend, alle SAP Approuter-Bereitstellungen auf Version 16.7.2 oder höher zu aktualisieren.
  • Weitere Informationen finden Sie in den FAQ im entsprechenden Support-Hinweis 3571636.
  • Mehr dazu finden Sie unter dem Hinweis: 3567974

Hoch: Fehlende Autorisierungsprüfung in SAP PDCE

Produkt: SAP PDCE, Versionen - S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108

  • Es handelt sich um ein Update zu einem Sicherheitshinweis, der ursprünglich im Juli 2024 Patch Day veröffentlicht wurde.
  • Elemente von SAP PDCE führen nicht die notwendigen Autorisierungsprüfungen für authentifizierte Benutzer durch, was zu einer Eskalation von Berechtigungen führt. Dies ermöglicht es einem Angreifer, sensible Informationen zu lesen, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat.
  • Die Schwachstelle wurde mit einem CVSS Score von 7,7 (hoch) bewertet und betrifft die Vertraulichkeit der Daten.
  • Die aktuelle Version (v15) vom 11. März 2025 enthält aktualisierte Informationen zu den Korrekturanweisungen. Es wurden Korrekturen für SEM-BW 602, 603 und 604 bereitgestellt, die dazu beitragen, komplexe Voraussetzungshinweise zu vermeiden.
  • Die betroffenen Funktionen wurden deaktiviert, um Zugriffe einzuschränken. SAP empfiehlt die Implementierung des entsprechenden Support Packages oder der im Sicherheitshinweis erwähnten Korrekturanweisungen.
  • Es ist kein Workaround für diese Sicherheitslücke verfügbar.
  • Mehr dazu finden Sie unter dem Hinweis: 3483344

Nähere Informationen zu allen veröffentlichten Sicherheitslücken des SAP Patch Days März finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.

Das könnte Sie auch interessieren

SAP Patch Day Mai 2025

Kritisch (Hot News): Fehlende Autorisierungsprüfung in SAP NetWeaver Visual Composer Produkt: SAP NetWeaver (Visual Composer...

SAP Patch Day April 2025

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP S/4HANA (Private Cloud oder On-Premise) Produkt: SAP S/4HANA (Private...

SAP Patch Day Februar 2025

Hoch: Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (User Admin Application) Produkt: SAP NetWeaver AS Java...

SAP Patch Day Januar 2025

Die als „Hot News“ eingestufte veröffentlichte Sicherheitslücke betrifft dieses Mal folgendes Produkt: Produkt: SAP NetWeaver...
Zu Insights
Newsletter Setzen Sie auf fundiertes Wissen aus allen Bereichen unserer Branche. Regelmäßig und stets aktuell.
Beratende Person
Kontakt Haben Sie Fragen oder wünschen weitere Informationen? Unsere Experten beraten Sie gerne.