SAP-Patchday bringt 18 neue Sicherheitsmitteilungen

SAP hat am Dienstag den monatlichen Patchday begangen und dazu 18 neue Sicherheitsmitteilungen veröffentlicht. Zwei davon behandeln Sicherheitslecks, die die Walldorfer Entwickler als kritisches Sicherheitsrisiko einstufen; eine erreicht sogar den Höchstwert CVSS 10.

Auf der Übersichtsseite zum November-Patchday reißt SAP die betroffenen Produkte mit kurzer Schwachstellenbeschreibung an. Im SQL Anywhere Monitor (Non-GUI) findet sich demnach eine Schwachstelle, die eine unsichere Verwaltung von Keys und Secrets betrifft (CVE-2025-42890, CVSS 10.0, Risiko „kritisch„). Der CVE-Eintrag präzisiert, dass Zugangsdaten fest im Code verankert sind, was schlussendlich in der Ausführung von eingeschleustem Schadcode münden kann.

Außerdem können angemeldete Angreifer im SAP Solution Manager Schadcode einschleusen (CVE-2025-42887, CVSS 9.9, Risiko „kritisch„). Laut Beschreibung geht das auf fehlende Prüfung und Filterung von Eingaben zurück. Das gelingt beim Aufruf eines Funktionsmoduls aus dem Netz und führt zu erhöhten Zugriffsrechten, mit denen Angreifer die volle Kontrolle über das System übernehmen können. Schließlich klafft in SAP CommonCryptoLib eine Speicherzugriffslücke (CVE-2025-42940, CVSS 7.5, Risiko „hoch„). Mit manipulierten Paketen können Angreifer einen Absturz der Software und somit einen Denial-of-Service auslösen, erörtert die Schwachstellenbeschreibung.

Weitere, weniger gravierende Sicherheitslücken

Die weiteren Sicherheitsmitteilungen kümmern sich um Schwachstellen, die weniger schwerwiegend ausfallen. Admins sollten trotzdem prüfen, ob sie verwundbare Instanzen betreiben, und die Aktualisierungen im kommenden Wartungsfenster installieren.

• Code Injection vulnerability in SAP HANA JDBC Client, CVE-2025-42895, CVSS 6.9, Risiko „mittel„
• OS Command Injection vulnerability in SAP Business Connector, CVE-2025-42892, CVSS 6.8, „mittel„
• Path Traversal vulnerability in SAP Business Connector, CVE-2025-42894, CVSS 6.8, „mittel„
• JNDI Injection vulnerability in SAP NetWeaver Enterprise Portal, CVE-2025-42884, CVSS 6.5, „mittel„
• Open Redirect vulnerabilities in SAP S/4HANA landscape (SAP E-Recruiting BSP), CVE-2025-42924, CVSS 6.1, „mittel„
• Open Redirect vulnerability in SAP Business Connector, CVE-2025-42893, CVSS 6.1, „mittel„
• Reflected Cross-Site Scripting (XSS) vulnerability in SAP Business Connector, CVE-2025-42886, CVSS 6.1, „mittel„
• Miissing authentication in SAP HANA 2.0 (hdbrss), CVE-2025-42885, CVSS 5.8, „mittel„
• Information Disclosure vulnerability in SAP GUI for Windows, CVE-2025-42888, CVSS 5.5, „mittel„
• SQL Injection vulnerability in SAP Starter Solution (PL SAFT), CVE-2025-42889, CVSS 5.4, „mittel„
• Information Disclosure vulnerability in SAP NetWeaver Application Server Java, CVE-2025-42919, CVSS 5.3, „mittel„
• Information Disclosure vulnerability in SAP Business One (SLD), CVE-2025-42897, CVSS 5.3, „mittel„
• Missing Authorization check in SAP S4CORE (Manage Journal Entries), CVE-2025-42899, CVSS 4.3, „mittel„
• Missing Authorization check in SAP NetWeaver Application Server for ABAP, CVE-2025-42882CVSS 4.3, „mittel„
• Insecure File Operations vulnerability in SAP NetWeaver Application Server for ABAP (Migration Workbench), CVE-2025-42883, CVSS 2.7, „niedrig„

Der Patchday von SAP im Oktober fiel mit 13 Sicherheitsmitteilungen spürbar weniger umfangreich aus. Von den Sicherheitslücken hatten die Entwickler dort drei als kritisch eingestuft.

(dmk)