SAP Basis & Security SAP Patch Day Mai 2025

Kritisch (Hot News): Fehlende Autorisierungsprüfung in SAP NetWeaver Visual Composer

Produkt: SAP NetWeaver (Visual Composer development server), Version - VCFRAMEWORK 7.50

• Es besteht eine kritische Sicherheitslücke im SAP NetWeaver Visual Composer Metadata Uploader, der nicht mit einer ordnungsgemäßen Autorisierung geschützt ist. Dies ermöglicht es nicht authentifizierten Angreifern, potenziell schädliche ausführbare Dateien hochzuladen, die das Host-System schwerwiegend beschädigen können. Die Schwachstelle gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit des Systems erheblich und wurde mit dem höchstmöglichen CVSS Score von 10,0 (kritisch) bewertet.
• Diese Sicherheitslücke (CVE-2025-31324) wird bereits aktiv ausgenutzt und wurde von der CISA in den Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Angreifer können ohne Authentifizierung oder Benutzerinteraktion über das Netzwerk auf die Schwachstelle zugreifen und potenziell die vollständige Kontrolle über das System erlangen.
• Als temporärer Workaround können Sie die in KBA 3593336 beschriebenen Maßnahmen implementieren, die für Ihre Systemlandschaft geeignet sind. SAP empfiehlt jedoch dringend, die in diesem SAP-Sicherheitshinweis referenzierten Korrekturanweisungen oder Support Packages zu implementieren.
• Wichtige Aktualisierung vom 13. Mai 2025: Alle Kunden müssen zusätzlich zur Note 3594142 auch die Sicherheitsnotiz 3604119 anwenden, unabhängig davon, ob sie die ursprüngliche Note bereits implementiert haben.
• Die bereitgestellte Korrektur schützt die betroffene Anwendung durch Authentifizierungsanforderungen und Autorisierungsbeschränkungen, wodurch verhindert wird, dass nicht autorisierte Benutzer schädliche Dateien hochladen können.

• Mehr dazu finden Sie unter dem Hinweis: 3594142

Kritisch (Hot News): Unsichere Deserialisierung in SAP NetWeaver Visual Composer

Produkt: SAP NetWeaver (Visual Composer development server), Version - VCFRAMEWORK 7.50

• Es besteht eine kritische Schwachstelle in SAP NetWeaver Visual Composer, die auf eine unsichere Deserialisierung von nicht vertrauenswürdigen oder schädlichen Inhalten im Metadaten-Uploader zurückzuführen ist. Ein privilegierter Benutzer kann schadhafte Inhalte hochladen, die bei der Deserialisierung zu einer Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des Hostsystems führen können.
• Die Schwachstelle hat einen CVSS-Score von 9,1 (kritisch) und ist über das Netzwerk mit niedriger Komplexität und ohne Benutzerinteraktion ausnutzbar. Ein Angreifer mit hohen Privilegien könnte durch die Deserialisierung vollständige Kontrolle über das betroffene System erlangen, was zu erheblichen Schäden führen kann.
• SAP empfiehlt dringend, die in diesem SAP-Sicherheitshinweis referenzierten Patches zu implementieren, um die Deserialisierung zu entfernen und die betroffene Anwendung zu schützen. Zusätzlich wurde eine optionale, aber hilfreiche Sicherheitsmaßnahme integriert, die eine Verbindung zur Viren-Scan-Schnittstelle von AS Java herstellt, um das Risiko weiter zu verringern.
• Kunden, die bereits den Sicherheitshinweis 3594142 implementiert haben, sollten auch den Sicherheitshinweis 3604119 einspielen, da die enthaltenen Patches kumulativ sind und zusätzliche Sicherheitsverbesserungen bieten.
• Mehr dazu finden Sie unter dem Hinweis: 3604119

Hoch (Security Update): Mehrere Schwachstellen im SAP Supplier Relationship Management (Live Auction Cockpit)

Produkt: SAP Supplier Relationship Management (Live Auction Cockpit), Version - SRM_SERVER 7.14

Im SAP Supplier Relationship Management (SRM) Live Auction Cockpit wurden mehrere Schwachstellen identifiziert, die schwerwiegende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben können. Die Schwachstellen betreffen hauptsächlich die Nutzung von veralteten Java-Applet-Komponenten und ermöglichen es Angreifern, sensible Informationen zu erlangen oder die Anwendung zu beeinträchtigen.

Die wichtigsten Schwachstellen umfassen:

• Blind XML External Entity (XXE) [CVE-2025-30018]: Ein nicht authentifizierter Angreifer kann eine speziell angefertigte XML-Datei an die Anwendung senden, die beim Parsen den Zugriff auf sensible Daten und Dateien ermöglicht. Diese Schwachstelle hat große Auswirkungen auf die Vertraulichkeit, jedoch keine Auswirkungen auf die Integrität und Verfügbarkeit. CVSS-Score: 8,6 (hoch).
• Reflected Cross-Site Scripting (XSS) [CVE-2025-30009]: Ein Angreifer kann ein schädliches Skript in den Browser des Opfers injizieren. Diese Schwachstelle hat geringe Auswirkungen auf die Vertraulichkeit und Integrität innerhalb des Browsers, aber keine Auswirkungen auf die Verfügbarkeit der Anwendung. CVSS-Score: 6,1 (moderat).
• Offene Weiterleitung (Open Redirect) [CVE-2025-30010]: Ein Angreifer kann einen schädlichen Link erstellen, der das Opfer auf eine gefährliche Website umleitet, was zu einer potentiellen Beeinträchtigung der Vertraulichkeit und Integrität führt. CVSS-Score: 6,1 (moderat).
• Offenlegung von Informationen [CVE-2025-30011]: Diese Schwachstelle ermöglicht es einem Angreifer, interne Versionsdetails des betroffenen Systems offenzulegen, was geringe Auswirkungen auf die Vertraulichkeit hat. CVSS-Score: 5,3 (moderat).
• Unsichere Deserialisierung [CVE-2025-30012]: Ein Angreifer mit hohen Berechtigungen könnte eine schadhafte Payload an die Anwendung senden, was eine Deserialisierung der Daten zur Folge hätte. Diese Schwachstelle hat geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung. CVSS-Score: 3,9 (gering).

Die Schwachstellen resultieren aus der Verwendung einer veralteten Java-Applet-Komponente. SAP empfiehlt dringend, das Live Auction Cockpit auf eine Version umzurüsten, die keine Java-Applets mehr verwendet. Ab SRM_SERVER 7.0 EHP4 SP06 wird ausschließlich DHTML genutzt, und das Java-Applet wird nicht länger unterstützt.

Mehr dazu finden Sie unter dem Hinweis: 3578900

Hoch (Security Update): Code-Injection-Schwachstelle in SAP S/4HANA Cloud Private Edition oder On-Premise (SCM Master Data Layer)

Produkt: SAP S/4HANA Cloud Private Edition oder On-Premise (SCM Master Data Layer (MDL)), Versionen - S4CORE 102, 103, 104, 105, 106, 107, 108, SCM_BASIS 700, 701, 702, 712, 713, 714

• Es wurde eine kritische Code-Injection-Schwachstelle in SAP S/4HANA Cloud Private Edition oder On-Premise (SCM Master Data Layer) identifiziert. Diese Schwachstelle ermöglicht es einem authentifizierten Angreifer mit SAP-Standardberechtigungen, einen bestimmten Funktionsbaustein remote auszuführen und beliebige ABAP-Programme zu ersetzen, einschließlich SAP-Standardprogramme. Die Ursache liegt in der fehlenden Eingabevalidierung und den fehlenden Berechtigungsprüfungen.
• Die Schwachstelle hat geringe Auswirkungen auf die Vertraulichkeit, jedoch erhebliche Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung, da Angreifer potenziell kritische Systemfunktionen beeinträchtigen können.
• SAP empfiehlt dringend, die betreffende Funktion zu deaktivieren, da sie mittlerweile als obsolet gilt. Nach Implementierung der Korrektur wird der betroffene Funktionsbaustein einen Dump erzeugen, wenn er aufgerufen wird, und keine Änderungen an Systemberichten zulassen.
• Mehr dazu finden Sie unter dem Hinweis: 3600859

Hoch (Security Update): Informationsleck in SAP Business Objects Business Intelligence Platform (Promotion Management Wizard)

Produkt: SAP Business Objects Business Intelligence Platform (Promotion Management Wizard), Versionen - ENTERPRISE 430, 2025, 2027

• Unter bestimmten Bedingungen erlaubt der Promotion Management Wizard (PMW) in der SAP Business Objects Business Intelligence Platform einem Angreifer den Zugriff auf Informationen, die normalerweise eingeschränkt sind. Diese Schwachstelle hat hohe Auswirkungen auf die Vertraulichkeit, aber geringe Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.
• Die Ursache dieser Schwachstelle liegt darin, dass der Promotion Management Wizard es Angreifern ermöglicht, über den Verzeichnis- oder Dateidialog bestimmte ausführbare Dateien zu starten, die nicht für den Endbenutzer zugänglich sein sollten. Dadurch kann ein Angreifer auf sensible Informationen zugreifen, die für ihn nicht bestimmt sind.
• Mehr dazu finden Sie unter dem Hinweis: 3586013

Hoch (Security Update): Fehlende Berechtigungsprüfungen in SAP Landscape Transformation (PCL Basis)

Produkt: SAP Landscape Transformation (PCL Basis), Versionen - DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020, S4CORE 102, 103, 104, 105, 106, 107, 108

• Das PCL-Basis-Modul von SAP Landscape Transformation führt unter bestimmten Bedingungen keine notwendigen Berechtigungsprüfungen durch. Dies ermöglicht es authentifizierten Benutzern, auf eingeschränkte Funktionen oder Daten zuzugreifen. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung, beeinträchtigt jedoch weder die Integrität noch die Verfügbarkeit des Systems.
• Mehr dazu finden Sie unter dem Hinweis: 3591978

Hoch (Security Update): Fehlende Berechtigungsprüfung in SAP PDCE

Produkt: SAP PDCE, Versionen - S4CORE 102, 103, 104, 105, 106, 107, 108

• In SAP PDCE (Promotion and Demand Chain Execution) führen bestimmte Module nicht die erforderlichen Berechtigungsprüfungen für authentifizierte Benutzer durch, was zu einer Eskalation von Rechten führt. Diese Schwachstelle ermöglicht es Angreifern, auf sensible Informationen zuzugreifen, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat. Es sind keine Auswirkungen auf die Integrität oder Verfügbarkeit des Systems zu erwarten.
• Mehr dazu finden Sie unter dem Hinweis: 3483344

Mittel (Security Update): Informationsleck im SAP Gateway Client

Produkt: SAP Gateway Client, Versionen - SAP_GWFND 752, 753, 754, 755, 756, 757, 758

• Unter bestimmten Bedingungen ermöglicht der SAP Gateway Client einem Benutzer mit hohen Berechtigungen den Zugriff auf eingeschränkte Informationen, die über den ursprünglichen Anwendungsumfang hinausgehen. Diese Schwachstelle kann durch den missbräuchlichen Zugriff auf exponierte Daten das Anwendungsverhalten oder die Performance beeinflussen, was zu geringen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit führen kann.
• Die Schwachstelle tritt auf, wenn ein Benutzer über die SAP-Gateway-Client-Transaktion /iwfnd/gw_client einen HTTP-OData-Request ausführt, der in bestimmten Szenarien sensible Daten exponiert.
• Mehr dazu finden Sie unter dem Hinweis: 3577300

Mittel (Security Update): Informationsleck in SAP S/4HANA (Private Cloud & On-Premise)

Produkt: SAP S/4HANA (Private Cloud & On-Premise), Versionen - S4CRM 204, 205, 206, S4CEXT 107, 108, BBPCRM 702, 712, 713, 714

• Es wurde eine Schwachstelle in SAP S/4HANA identifiziert, bei der ein authentifizierter Angreifer mit Benutzerberechtigungen ein Feld konfigurieren kann, auf das er keinen Zugriff haben sollte. Durch die Erstellung eines benutzerdefinierten UI-Layouts, das dieses Feld anzeigt, könnte der Angreifer Zugriff auf hochsensible Informationen erhalten. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung, während sie nur geringe Auswirkungen auf die Integrität und Verfügbarkeit hat.

Mittel (Security Update): Fehlende Berechtigungsprüfung im Ersatzteilmanagement (SPM)

Produkt: SAP Service Parts Management (SPM), Versionen - SAP_APPL 600, 602, 603, 604, 605, 606, 616, 617, 618, S4CORE 100, 101, 102

• Das SAP Service Parts Management (SPM) führt für authentifizierte Benutzer nicht die notwendigen Berechtigungsprüfungen durch, was einem Angreifer die Möglichkeit gibt, Berechtigungen zu eskalieren. Dies hat geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
• Mehr dazu finden Sie unter dem Hinweis: 2491817

Mittel (Security Update): Fehlende Berechtigungsprüfung im Ersatzteilmanagement (SPM)

Produkt: SAP Service Parts Management (SPM), Versionen - SAP_APPL 617, 618, S4CORE 100, 101, 102, 103

• Im SAP Service Parts Management (SPM) fehlen die erforderlichen Berechtigungsprüfungen für authentifizierte Benutzer, was einem Angreifer die Möglichkeit gibt, Berechtigungen zu eskalieren. Dies hat geringe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
• Mehr dazu finden Sie unter dem Hinweis: 2719724

Mittel (Security Update): Offenlegung von Informationen in SAP NetWeaver Application Server ABAP und ABAP-Plattform

Produkt: SAP NetWeaver Application Server ABAP und ABAP-Plattform, Versionen - SAP_BASIS 700 bis 758

• SAP NetWeaver ist anfällig für eine Schwachstelle bezüglich der Offenlegung von Informationen, die durch das Einschleusen schädlicher Anweisungen in Benutzerkonfigurationseinstellungen verursacht wird. Ein Angreifer mit Administratorrechten kann diese Anweisungen so gestalten, dass beim Zugriff durch das Opfer sensible Informationen wie Benutzeranmeldedaten offengelegt werden.
• Diese Anmeldeinformationen können dann verwendet werden, um sich unbefugten Zugriff auf lokale oder benachbarte Systeme zu verschaffen. Diese Schwachstelle hat erhebliche Auswirkungen auf die Vertraulichkeit, jedoch keine signifikanten Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

Mittel (Security Update): Cross-Site Scripting (XSS) Schwachstelle in SAP Supplier Relationship Management (Stammdatenmanagementkatalog)

Produkt: SAP Supplier Relationship Management (Stammdatenmanagementkatalog), Version 7.52

• SAP Supplier Relationship Management ermöglicht einem nicht authentifizierten Angreifer das Einschleusen von schädlichen Skripten in die Anwendung (XSS).
• Diese Schwachstelle hat keine Auswirkungen auf die Verfügbarkeit, aber geringe Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung.
• Eingabevalidierung für HOOK-URL wird durchgesetzt (nur HTTP(S)-Protokolle werden zugelassen, JavaScript und andere unsichere Schemata werden abgelehnt).
• Aktivierung der Sicherheitskennzeichen HttpOnly und Secure.
• URL-Parameter werden korrekt kodiert, um XSS-Angriffe zu verhindern.
• Mehr dazu finden Sie unter dem Hinweis: 3588455

Mittel (Security Update): Fehlende Berechtigungsprüfung in SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal

Produkt: SAP S/4HANA HCM Portugal, SAP ERP HCM Portugal, Versionen - S4HCMCPT 100 bis 101, SAP_HRCPT 600, 604, 608

• Fehlende Berechtigungsprüfung ermöglicht einem nicht autorisierten Benutzer den Zugriff auf Dateien eines anderen Unternehmens.
• Dies kann zur Offenlegung personenbezogener Daten von Mitarbeitern führen.
• Keine Auswirkungen auf Integrität oder Verfügbarkeit.
• Implementierung neuer schaltbarer Berechtigungsprüfungen.
• Prüfungen werden inaktiv ausgeliefert und können manuell aktiviert werden.
• Das neue Berechtigungsszenario HR_PYPT_COMP validiert, ob ein Benutzer gemäß seiner Steuernummer oder Entität die Berechtigung hat, Unternehmensdaten anzuzeigen.
• Mehr dazu finden Sie unter dem Hinweis: 3585992

Mittel (Security Update): Falsche Sicherheitskonfiguration in SAP Digital Manufacturing (Production Operator Dashboard)

Produkt: SAP Digital Manufacturing (Production Operator Dashboard), Version - CTNR-DME-PODFOUNDATION-MS 1.0

• Eine Schwachstelle aufgrund einer falschen Sicherheitskonfiguration ermöglicht es, dass externen Benutzern beim Zugriff auf Dashboards Kundendaten angezeigt werden können.
• Es gibt keine Mechanismen zur Authentifizierung, sodass unbefugte Benutzer nicht sensible Kundeninformationen einsehen können.
• Keine Auswirkungen auf Integrität oder Verfügbarkeit der Daten.
• Mehr dazu finden Sie unter dem Hinweis: 3571096

Mittel (Security Update): Cross-Site Scripting (XSS) Schwachstelle in der Management Console von SAP Data Services

Produkt: SAP Data Services Management Console, Version - SBOP DS JOB SERVER 4.3

• Die Management Console von SAP Data Services kodiert benutzergesteuerte Eingaben nicht ausreichend, was es einem Angreifer ermöglicht, schädliches Skript einzuschleusen.
• Wenn ein bereits angemeldeter Benutzer auf den kompromittierten Link klickt, wird das Skript im Umfang des Browsers des Opfers ausgeführt.
• Diese Schwachstelle kann Auswirkungen auf die Vertraulichkeit und Integrität der Daten haben. Die Verfügbarkeit der Anwendung ist jedoch nicht betroffen.
• Mehr dazu finden Sie unter dem Hinweis: 3558755

Mittel (Security Update): Fehlende Berechtigungsprüfung in SAP S/4HANA (OData-Metadateneigenschaft)

Produkt: SAP S/4HANA, Versionen - S4CORE 102 bis 106

• Über die OData-Metadateneigenschaft von SAP S4CORE kann ein authentifizierter Angreifer infolge einer fehlenden Berechtigungsprüfung auf eingeschränkte Informationen zugreifen.
• Dies kann geringe Auswirkungen auf die Vertraulichkeit der Anwendung haben. Integrität und Verfügbarkeit sind jedoch nicht betroffen.
• Mehr dazu finden Sie unter dem Hinweis: 3227940

Mittel (Security Update): Offenlegung von Informationen in SAP GUI for Windows

Produkt: SAP GUI for Windows, Versionen - BC-FES-GUI 8.00

• SAP GUI for Windows ermöglicht es einem unauthentifizierten Angreifer, unsichere Verschleierungsalgorithmen der GuiXT-Anwendung auszunutzen, um Benutzeranmeldeinformationen zu speichern.
• Dieses Problem hat geringe Auswirkungen auf die Vertraulichkeit, während Integrität und Verfügbarkeit der Anwendung nicht betroffen sind.
• Mehr dazu finden Sie unter dem Hinweis: 3574520

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day Mai finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.