SAP patcht attackierte, kritische Schwachstelle außer der Reihe
Eine kritische Sicherheitslücke nötigt SAP zum Update außer der Reihe. Sie wird bereits in freier Wildbahn angegriffen.
Es gibt Sicherheitslücken in SAP-Produkten.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Für gewöhnlich können sich IT-Verantwortliche auf einen monatlichen Zeitplan zum Installieren von SAP-Sicherheitsupdates einstellen. Kurz vor dem Wochenende ist das dieses Mal anders: Der Walldorfer Software-Konzern stopft eine kritische Sicherheitslücke mit Höchstwertung CVSS 10 von 10 außer der Reihe. Admins sollten zügig aktiv werden. Inzwischen ist klar: Die Lücke wird bereits in freier Wildbahn angegriffen.
SAP hat im Laufe des Donnerstags eine Schwachstellenmeldung herausgegeben. "SAP NetWeaver Visual Composer Metadata Uploader wird nicht von einer ordentlichen Autorisierung geschützt, was nicht authentifizierten Angreifern erlaubt, potenziell bösartige ausführbare Binärdateien hochzuladen, die das System stark schädigen können", schreiben die Entwickler des Unternehmens dort (CVE-2025-31324, CVSS 10.0, Risiko "kritisch").
Kritische Sicherheitslücke in SAP Netweaver
Weitergehende Details nennt SAP nicht, auch nicht auf der aktualisierten Übersichtsseite zum April-Patchday, die um den Eintrag länger wurde. Es finden sich dort jedoch noch zwei aktualisierte Sicherheitsnotizen, die seit der Erstveröffentlichung vor rund zwei Wochen nötig wurden, und zwei weitere Sicherheitsmitteilungen außer der Reihe. Die behandeln jedoch Sicherheitslücken in SAP S/4 HANA und SAP Field Logistics, die lediglich einen mittleren Bedrohungsgrad haben.
Videos by heise
IT-Verantwortliche mit verwundbaren SAP-Netweaver-Instanzen sollten die bereitgestellten Aktualisierungen umgehend anwenden. Sie sind für registrierte Admins auf den ihnen bekannten Wegen erhältlich.
Der April-Patchday findet regulär am zweiten Dienstag eines Monats statt. Im April hatte SAP dort 18 Sicherheitsmitteilungen zu Schwachstellen in diversen Produkten veröffentlicht. Bereits davon galten einige als kritisches Risiko, jedoch erreichte keines der Sicherheitslecks die schlimmstmögliche Einstufung mit einem CVSS-Wert von 10 (von 10 maximal möglichen Punkten).
Kriminelle missbauchen die Schwachstelle bereits im Internet. Details zu den Angriffen finden sich etwa bei Onapsis in einem Blog-Beitrag. Admins sollten schnellstmöglich aktualisieren, zumal offenbar viele SAP-Neatweaver-Installationen die verwundbare Komponente einsetzen, so die Einschätzung der IT-Sicherheitsforscher in der Analyse im Blog.
(dmk)
