heise PlusAbo
Anzeige
Alert!

SAP-Patchday: 14 Sicherheitswarnungen zum Jahresende

Zum letzten Patchday des Jahres hat SAP 14 Sicherheitsnotizen veröffentlicht. Aktualisierungen dichten die zugehörigen Schwachstellen ab.

vorlesen Druckansicht
SAP-Logo neben "Achtung"-Schild

(Bild: heise medien)

Lesezeit: 3 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

SAP hat zum letzten Patchday des Jahres 14 neue Sicherheitsmitteilungen veröffentlicht. Die behandeln teils kritische Sicherheitslücken in der Business-Software. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden.

Die Übersicht von SAP listet die einzelnen Sicherheitsnotizen und betroffene Produkte auf. Drei als kritisches Risiko eingestufte Sicherheitslecks stechen dabei hervor. Angemeldete Nutzer können aufgrund fehlender Eingabefilterung bösartigen Code beim Aufruf eines Moduls mit aktiviertem Fernzugriff einschleusen. Das ermöglicht die vollständige Übernahme betroffener SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“). Der mitgelieferte Apache-Tomcat-Server in SAP Commercial Cloud enthält zudem mehrere, teils als kritisches Risiko eingestufte Sicherheitslücken (CVE-2025-55754, CVSS 9.6, Risiko „kritisch“, sowie CVE-2025-55752, ohne eigene CVSS-Einstufung). Weiterhin warnt SAP davor, dass Angreifer mit erhöhten Rechten eine Deserialisierungslücke in SAP jConnect missbrauchen können, um beliebigen Schadcode aus der Ferne auszuführen (CVE-2025-42928, CVSS 9.1, Risiko „kritisch“).

Ăśbersicht der Sicherheitsnotizen

IT-Verantwortliche sollten prĂĽfen, ob sie verwundbare Produkte einsetzen und gegebenenfalls die Updates zĂĽgig installieren. Die Sicherheitsnotizen im Einzelnen:

  • Code Injection vulnerability in SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“)
  • Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud (CVE-2025-55754, CVSS 9.6, „kritisch“, sowie CVE-2025-55752)
  • Deserialization Vulnerability in SAP jConnect - SDK for ASE (CVE-2025-42928, CVSS 9.1, „kritisch“)
  • Sensitive Data Exposure in SAP Web Dispatcher and Internet Communication Manager (ICM) (CVE-2025-42878, CVSS 8.2, „hoch“)
  • Denial of service (DOS) in SAP NetWeaver (remote service for Xcelsius) (CVE-2025-42874, CVSS 7.9, „hoch“)
  • Denial of service (DOS) in SAP Business Objects (CVE-2025-48976, CVSS 7.5, „hoch“)
  • Memory Corruption vulnerability in SAP Web Dispatcher, Internet Communication Manager and SAP Content Server (CVE-2025-42877, CVSS 7.5, „hoch“)
  • Missing Authorization Check in SAP S/4 HANA Private Cloud (Financials General Ledger) (CVE-2025-42876, CVSS 7.1, „hoch“)
  • Missing Authentication check in SAP NetWeaver Internet Communication Framework (CVE-2025-42875, CVSS 6.6, „mittel“)
  • Information Disclosure vulnerability in Application Server ABAP (CVE-2025-42904, CVSS 6.5, „mittel“)
  • Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal (CVE-2025-42872, CVSS 6.1, „mittel“)
  • Denial of Service (DoS) in SAPUI5 framework (Markdown-it component) (CVE-2025-42873, CVSS 5.9, „mittel“)
  • Missing Authorization check in SAP Enterprise Search for ABAP (CVE-2025-42891, CVSS 5.5, „mittel“)
  • Server-Side Request Forgery (SSRF) in SAP BusinessObjects Business Intelligence Platform (CVE-2025-42896, CVSS 5.4, „mittel“)

Videos by heise

Der November-Patchday von SAP brachte IT-Verantwortlichen 18 Sicherheitsmitteilungen und zugehörige Patches zum Schließen der Sicherheitslücken. Davon galten zwei als kritisches Risiko, eine erreichte sogar den Höchstwert von CVSS 10.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten