SAP hat zum letzten Patchday des Jahres 14 neue Sicherheitsmitteilungen veröffentlicht. Die behandeln teils kritische Sicherheitslücken in der Business-Software. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden.
Die Übersicht von SAP listet die einzelnen Sicherheitsnotizen und betroffene Produkte auf. Drei als kritisches Risiko eingestufte Sicherheitslecks stechen dabei hervor. Angemeldete Nutzer können aufgrund fehlender Eingabefilterung bösartigen Code beim Aufruf eines Moduls mit aktiviertem Fernzugriff einschleusen. Das ermöglicht die vollständige Übernahme betroffener SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“). Der mitgelieferte Apache-Tomcat-Server in SAP Commercial Cloud enthält zudem mehrere, teils als kritisches Risiko eingestufte Sicherheitslücken (CVE-2025-55754, CVSS 9.6, Risiko „kritisch“, sowie CVE-2025-55752, ohne eigene CVSS-Einstufung). Weiterhin warnt SAP davor, dass Angreifer mit erhöhten Rechten eine Deserialisierungslücke in SAP jConnect missbrauchen können, um beliebigen Schadcode aus der Ferne auszuführen (CVE-2025-42928, CVSS 9.1, Risiko „kritisch“).
IT-Verantwortliche sollten prüfen, ob sie verwundbare Produkte einsetzen und gegebenenfalls die Updates zügig installieren. Die Sicherheitsnotizen im Einzelnen:
Code Injection vulnerability in SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“)Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud (CVE-2025-55754, CVSS 9.6, „kritisch“, sowie CVE-2025-55752)Deserialization Vulnerability in SAP jConnect - SDK for ASE (CVE-2025-42928, CVSS 9.1, „kritisch“)Sensitive Data Exposure in SAP Web Dispatcher and Internet Communication Manager (ICM) (CVE-2025-42878, CVSS 8.2, „hoch“)Denial of service (DOS) in SAP NetWeaver (remote service for Xcelsius) (CVE-2025-42874, CVSS 7.9, „hoch“)Denial of service (DOS) in SAP Business Objects (CVE-2025-48976, CVSS 7.5, „hoch“)Memory Corruption vulnerability in SAP Web Dispatcher, Internet Communication Manager and SAP Content Server (CVE-2025-42877, CVSS 7.5, „hoch“)Missing Authorization Check in SAP S/4 HANA Private Cloud (Financials General Ledger) (CVE-2025-42876, CVSS 7.1, „hoch“)Missing Authentication check in SAP NetWeaver Internet Communication Framework (CVE-2025-42875, CVSS 6.6, „mittel“)Information Disclosure vulnerability in Application Server ABAP (CVE-2025-42904, CVSS 6.5, „mittel“)Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal (CVE-2025-42872, CVSS 6.1, „mittel“)Denial of Service (DoS) in SAPUI5 framework (Markdown-it component) (CVE-2025-42873, CVSS 5.9, „mittel“)Missing Authorization check in SAP Enterprise Search for ABAP (CVE-2025-42891, CVSS 5.5, „mittel“)Server-Side Request Forgery (SSRF) in SAP BusinessObjects Business Intelligence Platform (CVE-2025-42896, CVSS 5.4, „mittel“)Der November-Patchday von SAP brachte IT-Verantwortlichen 18 Sicherheitsmitteilungen und zugehörige Patches zum Schließen der Sicherheitslücken. Davon galten zwei als kritisches Risiko, eine erreichte sogar den Höchstwert von CVSS 10.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo