SAP-Patchday: Updates schließen 14 teils kritische Schwachstellen
Im Januar bedenkt SAP Produkte mit 14 Sicherheitsmitteilungen und zugehörigen Updates. Zwei davon gelten als kritisch.
Es gibt Sicherheitslücken in SAP-Produkten.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
SAP begeht den ersten Patchdays des noch jungen Jahres 2025 und kümmert sich um 14 Sicherheitslücken in mehreren Produkten. Davon haben zwei die höchste Risikoeinstufung "kritisch" erhalten. IT-Verantwortliche sollten daher die bereitstehenden Aktualisierungen so schnell wie möglich installieren.
In der Patchday-Übersicht von SAP listet der Hersteller die einzelnen Sicherheitsmitteilungen auf. Angemeldete Nutzer können in SAP NetWeaver Application Server for ABAP and ABAP Platform unberechtigt Zugriff aufs System erlangen, da unzureichende Authentifizierungsprüfungen eine Ausweitung der Rechte ermöglichen (CVE-2025-0070, CVSS 9.9, Risiko "kritisch"). Zudem können Angreifer unter nicht genannten, bestimmten Bedingungen in SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework) unbefugt auf sensible Informationen zugreifen, was auf "schwache Zugriffskontrollen" zurückzuführen ist (CVE-2025-0066, CVSS 9.9, kritisch).
SAP: Kritische und hochriskante Sicherheitslücken
Außerdem stufen die Entwickler drei weitere Schwachstellen als hohes Risiko ein. Sie finden sich in SAP NetWeaver AS for ABAP and ABAP Platform, SAP BusinessObjects Business Intelligence Platform sowie in SAPSetup. Auch hierfür sollten Admins zügig die verfügbaren Aktualisierungen anwenden.
Videos by heise
Die einzelnen Sicherheitslecks in SAP-Produkten, die am Januar-Patchday behandelt werden, im Überblick:
- Improper Authentication in SAP NetWeaver ABAP Server and ABAP Platform CVE-2025-0070, CVSS 9.9, kritisch
- Information Disclosure vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform(Internet Communication Framework) CVE-2025-0066, CVSS 9.9, kritisch
- SQL Injection vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform CVE-2025-0063, CVSS 8.8, hoch
- Multiple vulnerabilities in SAP BusinessObjects Business Intelligence Platform CVE-2025-0061, CVSS 8.7, hoch; CVE-2025-0060, CVSS 6.5, mittel
- DLL Hijacking vulnerability in SAPSetup CVE-2025-0069, CVSS 7.8, hoch
- Information Disclosure vulnerability in SAP Business Workflow and SAP Flexible Workflow CVE-2025-0058, CVSS 6.5, mittel
- Missing Authorization check in SAP NetWeaver Application Server Java CVE-2025-0067, CVSS 6.3, mittel
- Information Disclosure vulnerability in SAP GUI for Windows CVE-2025-0055, CVSS 6.0, mittel
- Information Disclosure vulnerability in SAP GUI for Java CVE-2025-0056, CVSS 6.0, mittel
- Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML) CVE-2025-0059, CVSS 6.0, mittel
- Information Disclosure Vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform CVE-2025-0053, CVSS 5.3, mittel
- Cross-Site Scripting vulnerability in SAP NetWeaver AS JAVA (User Admin Application) CVE-2025-00578, CVSS 4.8, mittel
- Missing Authorization check in Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP CVE-2025-0068, CVSS 4.3, mittel
- Multiple Buffer overflow vulnerabilities in SAP BusinessObjects Business Intelligence Platform (Crystal Reports for Enterprise) CVE-2024-29133, CVSS 2.2, niedrig; CVE-2024-29131, kein CVSS, niedrig
Im Dezember vergangenen Jahres hatte SAP neun neu entdeckte Sicherheitslücken behandelt. Zudem haben die Entwickler des Unternehmens dort vier ältere Sicherheitsmitteilungen mit neuen Informationen aktualisiert.
(dmk)
