SAP-Patchday bringt 18 neue Sicherheitsmitteilungen

SAP hat am Dienstag den monatlichen Patchday begangen und dazu 18 neue Sicherheitsmitteilungen veröffentlicht. Zwei davon behandeln Sicherheitslecks, die die Walldorfer Entwickler als kritisches Sicherheitsrisiko einstufen; eine erreicht sogar den Höchstwert CVSS 10.

Auf der Übersichtsseite zum November-Patchday reißt SAP die betroffenen Produkte mit kurzer Schwachstellenbeschreibung an. Im SQL Anywhere Monitor (Non-GUI) findet sich demnach eine Schwachstelle, die eine unsichere Verwaltung von Keys und Secrets betrifft (CVE-2025-42890, CVSS 10.0, Risiko "kritisch"). Der CVE-Eintrag präzisiert, dass Zugangsdaten fest im Code verankert sind, was schlussendlich in der Ausführung von eingeschleustem Schadcode münden kann.

Außerdem können angemeldete Angreifer im SAP Solution Manager Schadcode einschleusen (CVE-2025-42887, CVSS 9.9, Risiko "kritisch"). Laut Beschreibung geht das auf fehlende Prüfung und Filterung von Eingaben zurück. Das gelingt beim Aufruf eines Funktionsmoduls aus dem Netz und führt zu erhöhten Zugriffsrechten, mit denen Angreifer die volle Kontrolle über das System übernehmen können. Schließlich klafft in SAP CommonCryptoLib eine Speicherzugriffslücke (CVE-2025-42940, CVSS 7.5, Risiko "hoch"). Mit manipulierten Paketen können Angreifer einen Absturz der Software und somit einen Denial-of-Service auslösen, erörtert die Schwachstellenbeschreibung.

Die weiteren Sicherheitsmitteilungen kümmern sich um Schwachstellen, die weniger schwerwiegend ausfallen. Admins sollten trotzdem prüfen, ob sie verwundbare Instanzen betreiben, und die Aktualisierungen im kommenden Wartungsfenster installieren.

Code Injection vulnerability in SAP HANA JDBC Client, CVE-2025-42895, CVSS 6.9, Risiko "mittel"OS Command Injection vulnerability in SAP Business Connector, CVE-2025-42892, CVSS 6.8, "mittel"Path Traversal vulnerability in SAP Business Connector, CVE-2025-42894, CVSS 6.8, "mittel"JNDI Injection vulnerability in SAP NetWeaver Enterprise Portal, CVE-2025-42884, CVSS 6.5, "mittel"Open Redirect vulnerabilities in SAP S/4HANA landscape (SAP E-Recruiting BSP), CVE-2025-42924, CVSS 6.1, "mittel"Open Redirect vulnerability in SAP Business Connector, CVE-2025-42893, CVSS 6.1, "mittel"Reflected Cross-Site Scripting (XSS) vulnerability in SAP Business Connector, CVE-2025-42886, CVSS 6.1, "mittel"Miissing authentication in SAP HANA 2.0 (hdbrss), CVE-2025-42885, CVSS 5.8, "mittel"Information Disclosure vulnerability in SAP GUI for Windows, CVE-2025-42888, CVSS 5.5, "mittel"SQL Injection vulnerability in SAP Starter Solution (PL SAFT), CVE-2025-42889, CVSS 5.4, "mittel"Information Disclosure vulnerability in SAP NetWeaver Application Server Java, CVE-2025-42919, CVSS 5.3, "mittel"Information Disclosure vulnerability in SAP Business One (SLD), CVE-2025-42897, CVSS 5.3, "mittel"Missing Authorization check in SAP S4CORE (Manage Journal Entries), CVE-2025-42899, CVSS 4.3, "mittel"Missing Authorization check in SAP NetWeaver Application Server for ABAP, CVE-2025-42882CVSS 4.3, "mittel"Insecure File Operations vulnerability in SAP NetWeaver Application Server for ABAP (Migration Workbench), CVE-2025-42883, CVSS 2.7, "niedrig"

Der Patchday von SAP im Oktober fiel mit 13 Sicherheitsmitteilungen spürbar weniger umfangreich aus. Von den Sicherheitslücken hatten die Entwickler dort drei als kritisch eingestuft.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo