Auch das BSI warnt: SAP schließt mit seinen April-Updates 23 Schwachstellen worunter sich 4 kritische Schwachstellen befinden mit einem CVSS-Wert von 9.8 bis 10 von 10! Es gibt aber auch noch 5 hochgefährliche Schwachstellen die ebenfalls dringend geschlossen werden sollten.
Bei so vielen kritischen und hochgefährlichen Schwachstellen veröffentlichte sogar das BSI eine Warnung. Eine der Schwachstellen hat einen CVSS-Wert 10 von 10 und ist damit kritisch. Aber auch 3 weitere Lücken mit 9.9 und 9.8 sollten von IT-Verantwortlichen die gleiche Aufmerksamkeit bekommen. Weitere 5 Schwachstellen sind mit Werten von 7.7 bis 8.8 hochgefährlich
Verantwortliche sollten dringend SAP-Updates ausführen!
CVSS 10.0: Im April 2025 wurden mehrere Sicherheitsvorfälle im Zusammenhang mit SAP NetWeaver bekannt, bei denen Angreifer JSP-Webshells ausnutzten, um unbefugte Dateiuploads und beliebigen Code auszuführen. Die Schwachstelle betrifft die SAP Visual Composer-Komponente von SAP-Java-Systemen und ermöglicht es nicht authentifizierten Bedrohungsakteuren, beliebige Dateien, einschließlich Remote-Webshells, in SAP-Anwendungen hochzuladen. Dies führt zu einer sofortigen vollständigen Kompromittierung dieser Systeme. Besonders kritisch ist, dass potenzielle Angriffe herkömmliche ERP-Sicherheitsmechanismen umgehen können.
Das SAP Threat Intelligence System von Onapsis hat die mögliche Ausnutzung der Schwachstelle bestätigt, die zunächst von ReliaQuest offengelegt wurde. Zudem haben die Onapsis Research Labs tausende SAP-Anwendungen identifiziert, die aufgrund dieser Schwachstelle möglicherweise dem Risiko von Cybersicherheitsverletzungen ausgesetzt sind.
Jetzt Newsletter abonnieren
Einmal im Monat die besten News von B2B CYBER SECURITY lesenSAP hat am 24. April einen Notfall-Patch zur Verfügung gestellt. Gefährdete Kunden sollten diesen schnellstmöglich einspielen. Sofern internetfähige Cloud-SAP-Systeme im Einsatz sind, sollten Kunden von einer Sicherheitsverletzung ausgehen und entsprechende Notfallmaßnahmen einleiten, darunter die Anwendung von SAP Security Note 3594142.
Wie weiteren kritischen SAP-Schwachstellen
- CVSS 9.9 – Code-Injection in SAP S/4HANA: Diese Schwachstelle ermöglicht es Angreifern, beliebigen ABAP-Code einzuschleusen und Autorisierungsprüfungen zu umgehen. Sie stellt eine erhebliche Gefahr dar, da sie per Remote Function Call (RFC) ausnutzbar ist.
- CVSS 9.9 – Code-Injection in SAP Landscape Transformation: Ähnlich wie bei S/4HANA können Angreifer hier ABAP-Code einfügen, was die Integrität und Sicherheit des Systems gefährdet.
- CVSS 9.9 – Authentifizierungsumgehung in SAP Financial Consolidation: Ein nicht authentifizierter Angreifer könnte Zugriff auf das Administratorkonto erhalten, was schwerwiegende Auswirkungen auf die Anwendung hat.
Alle kritischen und hochgefährlichen Schwachstellen zum SAP-Patchday April 2024
| Notiz# | Titel | Priorität | CVSS |
|---|---|---|---|
| 3594142 | [ CVE-2025-31324 ] Fehlende Autorisierungsprüfung in SAP NetWeaver (Visual Composer Entwicklungsserver) Produkt – SAP NetWeaver (Visual Composer Entwicklungsserver), Versionen – VCFRAMEWORK 7.50 |
Kritisch | 10,0 |
| 3581961 | Update zum Sicherheitshinweis vom Patch Day im April 2025:
[ CVE-2025-27429 ] Sicherheitslücke durch Code-Injektion in SAP S/4HANA (Private Cloud oder On-Premise)
Produkt – SAP S/4HANA (Private Cloud), Versionen – S4CORE 102, 103, 104, 105, 106, 107, 108 |
Kritisch | 9,9 |
| 3587115 | Update zum Sicherheitshinweis vom Patch Day im April 2025:
[ CVE-2025-31330 ] Sicherheitslücke durch Code-Injektion in SAP Landscape Transformation (Analyseplattform)
Produkt – SAP Landscape Transformation (Analyseplattform), Versionen – DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731 |
Kritisch | 9,9 |
| Notiz# | Titel | Priorität | CVSS |
|---|---|---|---|
| 3572688 | [ CVE-2025-30016 ] Sicherheitslücke bei der Umgehung der Authentifizierung im SAP Financial Consolidation -Produkt – SAP Financial Consolidation, Version – FINANCE 1010 |
Kritisch | 9,8 |
| 3525794 | Update zum Sicherheitshinweis, der am Patch Day im Februar 2025 veröffentlicht wurde:
[ CVE-2025-0064 ] Unzulässige Autorisierung in der SAP BusinessObjects Business Intelligence-Plattform. Produkt – SAP BusinessObjects Business Intelligence-Plattform (Central Management Console), Versionen – ENTERPRISE 430, 2025 |
Hoch | 8,8 |
| 3554667 | [ CVE-2025-23186 ] Gemischte dynamische RFC-Ziel-Sicherheitslücke durch Remote Function Call (RFC) im SAP NetWeaver Application Server ABAP -Produkt – SAP NetWeaver Application Server ABAP, Versionen – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93 |
Hoch | 8,5 |
| 3590984 | [ CVE-2024-56337 ] Time-of-check Time-of-use (TOCTOU) Race Condition-Sicherheitslücke in Apache Tomcat innerhalb des SAP Commerce Cloud- Produkts – SAP Commerce Cloud, Versionen – HY_COM 2205, COM_CLOUD 2211 |
Hoch | 8.1 |
| 2927164 | [ CVE-2025-30014 ] Directory-Traversal-Sicherheitslücke im SAP Capital Yield Tax Management- Produkt – SAP Capital Yield Tax Management, Versionen – CYTERP 420_700, CYT 800, IBS 7.0, CYT4HANA 100 |
Hoch | 7.7 |
| 3581811 | [ CVE-2025-27428 ] Directory Traversal-Sicherheitslücke in SAP NetWeaver und ABAP Platform (Service Data Collection) Produkt – SAP NetWeaver und ABAP Platform (Service Data Collection), Versionen – ST-PI 2008_1_700, 2008_1_710, 740 |
Hoch | 7.7 |
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.