SAP Basis & Security SAP Patch Day September 2025

Kritisch (Hot News): Code-Injection-Schwachstelle in SAP Landscape Transformation (Analyseplattform)

Produkt: SAP Landscape Transformation (Analysis Platform), Version - DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020

• Es besteht eine kritische Code-Injection-Schwachstelle (CVE-2025-42950) in SAP Landscape Transformation (SLT), die es einem Angreifer mit Benutzerberechtigungen ermöglicht, eine Sicherheitslücke in einem über RFC exponierten Funktionsbaustein auszunutzen. Dabei können grundlegende Berechtigungsprüfungen umgangen und beliebiger ABAP-Code in das System eingeschleust werden.
• Diese Schwachstelle wirkt wie eine Hintertür und ermöglicht im schlimmsten Fall die vollständige Kompromittierung des Systems. Vertraulichkeit, Integrität und Verfügbarkeit sind gleichermaßen betroffen.
• Mit der im Sicherheitshinweis bereitgestellten Korrektur werden die Code-Injection-Risiken beseitigt. Die Anpassung stellt sicher, dass keine beliebige Codeausführung mehr möglich ist und damit das Einschleusen sowie Ausführen schädlicher Skripte oder Befehle verhindert wird.
• Es ist keine Lösung verfügbar. SAP empfiehlt dringend, die im Hinweis 3633838 genannten Support Packages oder Korrekturanleitungen umgehend einzuspielen.

Kritisch (Hot News): Unsichere Deserialisierung in SAP NetWeaver (RMI-P4)

Produkt: SAP Netweaver (RMI-P4), Version - SERVERCORE 7.50

• Es besteht eine kritische Schwachstelle bezüglich unsicherer Deserialisierung in SAP NetWeaver. Ein nicht authentifizierter Angreifer kann diese Lücke über das RMI-P4-Modul ausnutzen, indem er eine manipulierte Payload an einen offenen Port sendet. Die unsichere Verarbeitung solcher Java-Objekte kann zur Ausführung beliebiger Betriebssystembefehle führen. Dadurch sind Vertraulichkeit, Integrität und Verfügbarkeit des Systems in höchstem Maße gefährdet. Die Schwachstelle wurde mit CVSS 10,0 (kritisch) bewertet und unter CVE-2025-42944 veröffentlicht.
• Das Problem wurde behoben, indem die betroffene P4-Bibliothek aktualisiert wurde. Diese erzwingt nun eine sichere Deserialisierungsbehandlung und schränkt die Annahme nicht vertrauenswürdiger Objekte ein. SAP empfiehlt dringend, die im Sicherheitshinweis beschriebenen Support Package Patches einzuspielen. Voraussetzung hierfür ist eine Java Virtual Machine mit einer Version größer als Java 8u121 (18. April 2017). Weitere Details und Abhängigkeiten sind im Hinweis 2695197 (JVM-Update) sowie 1974464 (SCA-Abhängigkeitsanalyse) beschrieben.
• Als kurzfristige Möglichkeit kann eine P4-Portfilterung auf ICM-Ebene implementiert werden, um nur vertrauenswürdige Hosts zuzulassen. Diese Maßnahme sollte jedoch ausschließlich als Übergangslösung genutzt werden, bis die regulären Patches eingespielt sind.

Kritisch (Hot News): Unsichere Dateioperationen in SAP NetWeaver AS Java (Deploy-Web-Service)

Produkt: SAP NetWeaver AS Java (Deploy Web Service), Version - J2EE-APPS 7.50

• Es besteht eine kritische Schwachstelle in SAP NetWeaver AS Java, die es einem Angreifer mit normalen Benutzerrechten ermöglicht, über einen verfügbaren Service beliebige Dateien auf das System hochzuladen. Wird eine solche Datei ausgeführt, kann dies zur vollständigen Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems führen. Die Sicherheitslücke wurde unter CVE-2025-42922 veröffentlicht und mit einem CVSS Score von 9,9 (kritisch) bewertet.
• Die Korrektur beschränkt den Zugriff auf den betroffenen Web-Service künftig ausschließlich auf Administrationsbenutzer. SAP empfiehlt dringend, die im Hinweis aufgeführten Support Packages und Patches einzuspielen. Um mögliche Inkompatibilitäten im System zu vermeiden, sollte zuvor der Hinweis 1974464 („SCA-Abhängigkeitsanalyse für Java-Downloadobjekte“) berücksichtigt werden.
• Als temporäre Lösung stellt SAP zusätzliche Anweisungen im Wissensdatenbankartikel 3646072 bereit. Diese Maßnahme ist jedoch nur als Übergangslösung gedacht, bis die endgültigen Patches eingespielt sind.

Kritisch (Hot News): Fehlende Authentifizierungsprüfung in SAP NetWeaver

Produkt: SAP NetWeaver, Version - KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54

• Es besteht eine kritische Schwachstelle in SAP NetWeaver, die auf IBM i-series auftritt. Aufgrund einer fehlenden Authentifizierungsprüfung können Benutzer mit hohen Berechtigungen sensible Informationen lesen, ändern oder löschen sowie auf administrative und privilegierte Funktionen zugreifen. Dadurch sind Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung schwerwiegend gefährdet. Die Schwachstelle wurde unter CVE-2025-42958 veröffentlicht und mit einem CVSS Score von 9,9 (kritisch) bewertet.
• Betroffen sind Kundensysteme, bei denen mehrere SAP-System-IDs (SIDs) in einer logischen Partition (LPAR) auf IBM i betrieben werden. Mit der Korrektur wurden die betroffenen Funktionen so angepasst, dass Zugriffseinschränkungen ordnungsgemäß geprüft werden. Zudem wurden die SAP-Benutzerprofile restriktiver gestaltet.
• Die Korrektur wird mit den im Hinweis genannten Kernel-Patch-Levels ausgeliefert und ist auch in allen nachfolgenden Kernel-Patches enthalten. SAP empfiehlt, den neuesten verfügbaren Kernel-Patch einzuspielen. Dabei sind die Hinweise 2083594 (Kernel-Versionen und Patch-Levels), 1802333 (Regressionen im Kernel), sowie 19466 (Herunterladen von Kernel-Patches) zu berücksichtigen. Bei nicht mehr gewarteten Kernel-Releases ist ein Umstieg auf einen abwärtskompatiblen Kernel (AKK) erforderlich. SAP empfiehlt daher dringend, die im Hinweis beschriebenen Kernel-Patches umgehend einzuspielen.

Hoch: Unsichere Ablage sensibler Informationen in SAP Business One (SLD)

Produkt: SAP Business One (SLD) Version - B1_ON_HANA 10.0, SAP-M-BO 10.0

• Es besteht eine Schwachstelle in SAP Business One, bei der der SLD-Backend-Service die ordnungsgemäße Verschlüsselung bestimmter APIs nicht erzwingen konnte. Dadurch konnten sensible Anmeldeinformationen im HTTP-Response-Body offengelegt werden, wenn sich ein Benutzer über den nativen SAP-Business-One-Client anmeldete. Dies beeinträchtigt die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich. Die Schwachstelle wurde unter CVE-2025-42933 veröffentlicht und mit CVS score Hoch (8.8) eingestuft.
• Mit der Korrektur wurde die interne Logik des SLD-Services angepasst, sodass das Datenbankkennwort im HTTP-Response-Body nun ordnungsgemäß verschlüsselt wird. SAP empfiehlt dringend, die im Hinweis genannten Support Packages und Patches einzuspielen, um die Exponierung sensibler Daten zu verhindern.

Hoch: Fehlende Eingabevalidierung in SAP Landscape Transformation Replication Server

Produkt: SAP Landscape Transformation Replication Server, Version - DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020

• Es besteht eine Schwachstelle in SAP Landscape Transformation Replication Server, die auf fehlender Eingabevalidierung beruht. Ein Angreifer mit hohen Berechtigungen kann den Inhalt beliebiger Datenbanktabellen löschen, sofern diese nicht durch eine Berechtigungsgruppe geschützt sind. Dies gefährdet insbesondere die Integrität und Verfügbarkeit der betroffenen Datenbank. Die Schwachstelle wurde unter CVE-2025-42929 veröffentlicht und als hoch priorisiert eingestuft.
• Die Korrektur entfernt veralteten Quelltext und verhindert dadurch die fehlerhafte Verarbeitung von Eingaben. SAP empfiehlt dringend, die im Sicherheitshinweis aufgeführten Korrekturanleitungen oder Support Packages einzuspielen, um das Risiko eines Datenverlusts auszuschließen.

Hoch: Fehlende Eingabevalidierung in SAP S/4HANA (Private Cloud oder On-Premise)

Produkt: SAP S/4HANA (Private Cloud or On-Premise), Version - S4CORE 102, 103, 104, 105, 106, 107, 108

• Es besteht eine Schwachstelle in SAP S/4HANA, die durch fehlende Eingabevalidierung entsteht. Ein Angreifer mit hohen Berechtigungen kann den Inhalt beliebiger Datenbanktabellen löschen, sofern diese nicht durch eine Berechtigungsgruppe geschützt sind. Dies gefährdet insbesondere die Integrität und Verfügbarkeit der Datenbank, während die Vertraulichkeit nicht betroffen ist. Die Schwachstelle wurde unter CVE-2025-42916 veröffentlicht und als hoch priorisiert eingestuft.
• Die Korrektur entfernt veralteten Quelltext und beseitigt so das Risiko unsachgemäßer Eingabeverarbeitung. SAP empfiehlt dringend, die im Sicherheitshinweis genannten Korrekturanleitungen oder Support Packages einzuspielen, um den Schutz der Daten sicherzustellen.

Update zu 3581811 von April 2025; Hoch: Directory-Traversal-Schwachstelle in SAP NetWeaver und ABAP-Plattform (Servicedatensammlung)

Produkt: SAP NetWeaver and ABAP Platform (Service Data Collection), Version - ST-PI 2008_1_700, 2008_1_710, 740

• Es besteht eine Schwachstelle in der Servicedatensammlung von SAP NetWeaver und der ABAP-Plattform. Durch eine Directory-Traversal-Schwachstelle kann ein autorisierter Angreifer über einen RFC-fähigen Funktionsbaustein Dateien aus jedem an den SAP Solution Manager angebundenen System lesen. Dies gefährdet die Vertraulichkeit in hohem Maße, während Integrität und Verfügbarkeit nicht betroffen sind. Die Schwachstelle wurde unter CVE-2025-27428 veröffentlicht und als hoch priorisiert eingestuft.
• Die Korrektur erweitert die Prüfung der vom Benutzer übermittelten Dateipfade und verhindert so den Zugriff auf beliebige Dateien außerhalb der vorgesehenen Strukturen. SAP empfiehlt dringend, die im Hinweis genannten Korrekturanleitungen oder Support Packages einzuspielen.

Update zu 3302162 von März 2025; Kritisch (Hot News): Directory-Traversal-Schwachstelle in SAP NetWeaver AS für ABAP und ABAP-Plattform

Produkt: SAP NetWeaver AS for ABAP and ABAP Platform, Version – 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757

• Dieser SAP-Hinweis wurde mir einer aktualisierten Korrekturanleitung erneut freigegeben.
• Es besteht eine kritische Schwachstelle im Programm SAPRSBRO von SAP NetWeaver AS für ABAP und ABAP-Plattform. Ein Angreifer mit nicht administrativen Berechtigungen kann diese Lücke ausnutzen, um Systemdateien durch Directory Traversal zu überschreiben. Zwar können keine Daten gelesen werden, jedoch besteht die Gefahr, dass kritische Betriebssystemdateien überschrieben werden, wodurch das betroffene System nicht mehr verfügbar ist. Die Schwachstelle wurde unter CVE-2023-27500 veröffentlicht und mit einem CVSS Score von 9,9 (kritisch) bewertet.
• SAP hat die Korrektur mit aktualisierten Quelltextanpassungen bereitgestellt. Durch die Implementierung der Korrektur wird sichergestellt, dass das anfällige Programm SAPRSBRO nicht mehr ausgeführt werden kann. SAP empfiehlt dringend, das im Hinweis genannte Support Package oder die beigefügten Quelltextkorrekturen einzuspielen.
• Weitere technische Details und ergänzende Informationen finden Sie im Hinweis 3311360.

Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day September finden Sie hier.

Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.