SAP-Patchday September 2025 behebt mehr als zwanzig Lücken – vier HotNews

SAP hat in der neunten Ausgabe seines diesjährigen Sicherheits-Patchdays einundzwanzig neue Sicherheitslücken behoben und stuft vier der Lücken als „HotNews“, also besonders kritisch, ein. Administratoren und Managed-Service-Provider sollten schnell reagieren.

Immer wieder unsichere Deserialisierung

Die vier HotNews beziehen sich auf:

• Eine unsichere Deserialisierung in Netweaver RMI-P4 erhält die Höchstwertung von 10,0 CVSS-Punkten (Schweregrad: kritisch) und die CVE-ID CVE-2025-42944. Die Lücke kann zum Einschleusen beliebigen Codes missbraucht werden.
• In SAP Netweaver AS Java werden Dateien auf unsichere Art behandelt – CVE-2025-42922 (CVSS 9.9, kritisch) ermöglicht einem SAP-Nutzer den Upload beliebiger Dateien und deren Ausführung.
• Bei der dritten HotNews handelt es sich um ein Update einer bereits im März 2023, damals aber offenbar unvollständig behandelten Lücke mit einer CVSS-Wertung von 9.6 (kritisch), der CVE-ID CVE-2023-27500 und für SAP Netweaver AS for ABAP and ABAP Platform.
• Auf immerhin 9,1 Punkte und damit ebenfalls eine kritische Wertung kommt CVE-2025-42958, eine fehlende Authentifizierungsprüfung in SAP Netweaver auf IBM i-series. Sie ist nur durch angemeldete Nutzer ausnutzbar.

Weitere Sicherheitsflicken aus dem Hause SAP gibt es für SAP Commerce Cloud, Datahub, HCM, BusinessObjects, Fiori und weitere Produkte des Softwarekonzerns. Immerhin liefert dieser interessierten Dritten eine Übersicht der behobenen Probleme – für Details und Patches benötigen Betroffene jedoch ein SAP-Konto.

Erst kürzlich waren aktive Angriffe auf eine kritische S/4HANA-Schwachstelle bekannt geworden, unter unsicherer Deserialisierung litt hingegen ein bekanntes Produkt von Mitbewerber Microsoft. Der Sharepoint-Exploit „ToolShell“ sorgte im vergangenen Juli für Aufregung und wirkt bis heute nach – etwa durch ein Datenleck bei Infoniqa.

(cku)