SAP-Patchday: Kritisches Leck in Netweaver und weitere Schwachstellen

SAP hat zum Juni-Patchday 14 Sicherheitsmitteilungen veröffentlicht. In denen behandeln die Entwickler des Hauses teils kritische Sicherheitslücken in diversen Produkten. IT-Verantwortliche sollten die bereitgestellten Softwareupdates zügig installieren.

In der Übersicht zum Patchday von SAP listet der Hersteller die einzelnen Sicherheitsnotizen zu den Schwachstellen auf. Die schwerwiegendste Lücke betrifft den SAP Netweaver Application Server for ABAP. Das Verarbeiten bestimmter eingehender Kommunikation unterlässt nötige Autorisierungsprüfungen für authentifizierte Nutzerinnen und Nutzer, wodurch bösartige Akteure ihre Rechte ausweiten können (CVE-2025-42989 / EUVD-2025-17599, CVSS 9.6, Risiko "kritisch").

Fünf weitere Schwachstellen haben die Einstufung als hohes Risiko erhalten, sechs eine als mittleres und schließlich zwei die Einordnung als Risikostufe "niedrig".

Die Sicherheitslücken im einzelnen, nach Schweregrad sortiert:

Missing Authorization check in SAP NetWeaver Application Server for ABAP, CVE-2025-42989 / EUVD-2025-17599, CVSS 9.6, Risiko "kritisch"Information Disclosure in SAP GRC (AC Plugin), CVE-2025-42982 / EUVD-2025-17604, CVSS 8.8, Risiko "hoch"Missing Authorization check in SAP Business Warehouse and SAP Plug-In Basis, CVE-2025-42983 / EUVD-2025-17603, CVSS 8.5, Risiko "hoch"Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence (BI Workspace), CVE-2025-23192 / EUVD-2025-17607, CVSS 8.2, Risiko "hoch"Directory Traversal vulnerability in SAP NetWeaver Visual Composer, CVE-2025-42977 / EUVD-2025-17605, CVSS 7.6, Risiko "hoch"Multiple vulnerabilities in SAP MDM Server, CVE-2025-42994 / EUVD-2025-17595, CVSS 7.5, Risiko "hoch"Missing Authorization Check in SAP S/4HANA (Enterprise Event Enablement), CVE-2025-42993 / EUVD-2025-17596, CVSS 6.7, Risiko "mittel"Cross-Site Scripting (XSS) Vulnerability in SAP NetWeaver (ABAP Keyword Documentation), CVE-2025-31325 / EUVD-2025-17606, CVSS 5.8, Risiko "mittel"Missing Authorization check in SAP S/4HANA (Manage Central Purchase Contract application), CVE-2025-42984 / EUVD-2025-17602, CVSS 5.4, Risiko "mittel" Security misconfiguration vulnerability in SAP Business One Integration Framework, CVE-2025-42998 / EUVD-2025-17592, CVSS 5.3, Risiko "mittel"Missing Authorization Check in SAP S/4HANA (Manage Processing Rules - For Bank Statement), CVE-2025-42987 / EUVD-2025-17601, CVSS 4.3, Risiko "mittel"Missing Authorization check in SAP S/4HANA (Bank Account Application), CVE-2025-42991 / EUVD-2025-17597, CVSS 4.3, Risiko "mittel" Server-Side Request Forgery in SAP Business Objects Business Intelligence Platform, CVE-2025-42988 / EUVD-2025-17600, CVSS 3.7, Risiko "niedrig"HTML Injection in Unprotected SAPUI5 applications, CVE-2025-42990 / EUVD-2025-17598, CVSS 3.0, Risiko "niedrig"

Der SAP-Patchday im Mai brachte Sicherheitsupdates für Schwachstellen aus 16 Sicherheitsnotizen. Auch dort stellte eine kritische Sicherheitslücke in SAP Netweaver das größte Risiko der behandelten Sicherheitslecks dar.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo