SAP-Patchday: 14 Sicherheitswarnungen zum Jahresende

SAP hat zum letzten Patchday des Jahres 14 neue Sicherheitsmitteilungen veröffentlicht. Die behandeln teils kritische Sicherheitslücken in der Business-Software. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden.

Die Übersicht von SAP listet die einzelnen Sicherheitsnotizen und betroffene Produkte auf. Drei als kritisches Risiko eingestufte Sicherheitslecks stechen dabei hervor. Angemeldete Nutzer können aufgrund fehlender Eingabefilterung bösartigen Code beim Aufruf eines Moduls mit aktiviertem Fernzugriff einschleusen. Das ermöglicht die vollständige Übernahme betroffener SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“). Der mitgelieferte Apache-Tomcat-Server in SAP Commercial Cloud enthält zudem mehrere, teils als kritisches Risiko eingestufte Sicherheitslücken (CVE-2025-55754, CVSS 9.6, Risiko „kritisch“, sowie CVE-2025-55752, ohne eigene CVSS-Einstufung). Weiterhin warnt SAP davor, dass Angreifer mit erhöhten Rechten eine Deserialisierungslücke in SAP jConnect missbrauchen können, um beliebigen Schadcode aus der Ferne auszuführen (CVE-2025-42928, CVSS 9.1, Risiko „kritisch“).

IT-Verantwortliche sollten prüfen, ob sie verwundbare Produkte einsetzen und gegebenenfalls die Updates zügig installieren. Die Sicherheitsnotizen im Einzelnen:

Code Injection vulnerability in SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“)Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud (CVE-2025-55754, CVSS 9.6, „kritisch“, sowie CVE-2025-55752)Deserialization Vulnerability in SAP jConnect - SDK for ASE (CVE-2025-42928, CVSS 9.1, „kritisch“)Sensitive Data Exposure in SAP Web Dispatcher and Internet Communication Manager (ICM) (CVE-2025-42878, CVSS 8.2, „hoch“)Denial of service (DOS) in SAP NetWeaver (remote service for Xcelsius) (CVE-2025-42874, CVSS 7.9, „hoch“)Denial of service (DOS) in SAP Business Objects (CVE-2025-48976, CVSS 7.5, „hoch“)Memory Corruption vulnerability in SAP Web Dispatcher, Internet Communication Manager and SAP Content Server (CVE-2025-42877, CVSS 7.5, „hoch“)Missing Authorization Check in SAP S/4 HANA Private Cloud (Financials General Ledger) (CVE-2025-42876, CVSS 7.1, „hoch“)Missing Authentication check in SAP NetWeaver Internet Communication Framework (CVE-2025-42875, CVSS 6.6, „mittel“)Information Disclosure vulnerability in Application Server ABAP (CVE-2025-42904, CVSS 6.5, „mittel“)Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal (CVE-2025-42872, CVSS 6.1, „mittel“)Denial of Service (DoS) in SAPUI5 framework (Markdown-it component) (CVE-2025-42873, CVSS 5.9, „mittel“)Missing Authorization check in SAP Enterprise Search for ABAP (CVE-2025-42891, CVSS 5.5, „mittel“)Server-Side Request Forgery (SSRF) in SAP BusinessObjects Business Intelligence Platform (CVE-2025-42896, CVSS 5.4, „mittel“)

Der November-Patchday von SAP brachte IT-Verantwortlichen 18 Sicherheitsmitteilungen und zugehörige Patches zum Schließen der Sicherheitslücken. Davon galten zwei als kritisches Risiko, eine erreichte sogar den Höchstwert von CVSS 10.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo