SAP NetWeaver AS Java: Kritische CVSS 10- und 9,9-Sicherheitslücken im September-Patch geschlossen

Laut Onapsis wurden kritische Sicherheitslücken mit CVSS-Bewertungen von 10 und 9,9 für SAP NetWeaver AS Java geschlossen.

Die Analyse der SAP-Sicherheitshinweise vom September zeigt folgende Ergebnisse:

• Insgesamt wurden 25 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter vier HotNews-Hinweise und vier High Priority-Hinweise.

• Für SAP NetWeaver AS Java wurden zwei kritische HotNews-Sicherheitshinweise veröffentlicht.

• Onapsis Research Labs unterstützte SAP bei der Behebung von sieben Sicherheitslücken, die in zwei HotNews- und fünf Medium Priority-Hinweisen behandelt wurden.

Im Rahmen des Patch Days im September veröffentlichte SAP 25 neue und aktualisierte Sicherheitshinweise, von denen sieben in Zusammenarbeit mit Onapsis Research Labs entstanden.

Grafik Quelle: Onapsis

Die HotNews-Hinweise im Detail

Die Onapsis Research Labs (ORL) haben SAP dabei unterstützt, zwei kritische Schwachstellen in SAP NetWeaver AS Java zu beheben.

SAP Security Note #3634501, die mit der höchstmöglichen CVSS-Bewertung von 10,0 gekennzeichnet ist, behebt eine Schwachstelle bei der Deserialisierung im RMI-P4-Modul von AS Java. Die Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, beliebige Betriebssystembefehle auszuführen, indem er bösartige Payloads an einen offenen Port sendet. Ein erfolgreicher Angriff kann zu einer vollständigen Kompromittierung der Anwendung führen. Als vorübergehende Abhilfe sollten Kunden eine P4-Port-Filterung auf ICM-Ebene hinzufügen, um zu verhindern, dass unbekannte Hosts eine Verbindung zum P4-Port herstellen.

Die SAP-Sicherheitsmitteilung #3643865 mit einem CVSS-Wert von 9,9 behebt eine Sicherheitslücke aufgrund unsicherer Dateioperationen in SAP NetWeaver AS Java. Das ORL-Team hat eine Dienstschwachstelle entdeckt, die es einem als Nicht-Administrator authentifizierten Angreifer ermöglicht, beliebige Dateien hochzuladen. Bei der Ausführung der Datei kann das System vollständig kompromittiert werden.

Die dritte neue HotNews-Mitteilung ist die SAP-Sicherheitsmitteilung #3627373 mit einem CVSS-Score von 9,1. Die Mitteilung behebt eine fehlende Authentifizierungsprüfung in SAP NetWeaver-Anwendungen, die auf IBM i-Series laufen. Nicht autorisierte Benutzer mit hohen Berechtigungen können sensible Informationen lesen, ändern oder löschen sowie auf administrative oder privilegierte Funktionen zugreifen.

Die SAP HotNews Note #3302162 mit einem CVSS-Score von 9,6 wurde ursprünglich im März 2023 veröffentlicht und behebt eine Directory-Traversal-Sicherheitslücke in SAP NetWeaver AS ABAP. Die Note wurde mit zusätzlichen Korrekturanweisungen aktualisiert.

Die High Priority Notes im Detail

Die SAP Security Note #3642961 mit einem CVSS-Score von 8,8 behebt eine Sicherheitslücke im Backend-Service des System Landscape Directory von SAP Business One, die durch die unsichere Speicherung sensibler Informationen entsteht. Aufgrund einer unzureichenden Verschlüsselung einiger APIs könnten sensible Anmeldedaten im HTTP-Response-Body offengelegt werden, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hätte.

SAP S/4HANA (Private Cloud oder On-Premise) ist von der SAP-Sicherheitsmitteilung #3635475 mit hoher Priorität und einem CVSS-Score von 8,1 betroffen. Ein ABAP-Bericht der Anwendung ermöglicht das Löschen beliebiger Tabellen, die nicht durch eine Berechtigungsgruppe geschützt sind, was erhebliche Auswirkungen auf die Integrität und Verfügbarkeit der Datenbank hat.

Die SAP-Sicherheitsmitteilung Nr. 3633002 behebt dieselbe Schwachstelle im SAP Landscape Transformation Replication Server.

Die SAP-Sicherheitsmitteilung #3581811 wurde ursprünglich im April 2025 veröffentlicht. Die Mitteilung ist mit einem CVSS-Score von 7,7 versehen und behebt eine Directory-Traversal-Sicherheitslücke in SAP NetWeaver und der ABAP-Plattform (Service Data Collection). Die Mitteilung wurde mit aktualisierten Korrekturanweisungen erneut veröffentlicht.

Beitrag von Onapsis

Zusätzlich zu den beiden Schwachstellen in SAP NetWeaver AS Java, die durch HotNews Notes gepatcht wurden, unterstützte das ORL-Team SAP bei der Behebung von fünf Schwachstellen mit mittlerer Priorität.

SAP Security Note #3614067, mit einem CVSS-Score von 6,5, behebt eine Denial-of-Service-Schwachstelle in SAP Business Planning and Consolidation. Das ORL-Team identifizierte einen ferngesteuerten Funktionsbaustein, dessen Parameter von authentifizierten Standardbenutzern so gestaltet werden konnten, dass sie eine nahezu unendliche Schleife verursachten, die übermäßige Ressourcen verbrauchte und zur Nichtverfügbarkeit des Systems führte.

Die SAP-Sicherheitsmitteilung #3629325 mit einem CVSS-Score von 6,1 beschreibt eine Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver ABAP Platform. Aufgrund einer unzureichenden Kodierung der URL-Parameter könnte ein nicht authentifizierter Angreifer einen bösartigen Link generieren und öffentlich zugänglich machen. Wenn ein authentifizierter Benutzer auf diesen Link klickt, wird die injizierte Eingabe während der Generierung der Website-Seite verarbeitet, was zur Erstellung bösartiger Inhalte führt. Bei der Ausführung ermöglichen diese Inhalte dem Angreifer den Zugriff auf oder die Änderung von Informationen im Browserbereich des Opfers, was sich auf die Vertraulichkeit und Integrität auswirkt, während die Verfügbarkeit unbeeinträchtigt bleibt.

Die SAP-Sicherheitsmitteilung #3647098 mit einem CVSS-Score von 6,1 behebt eine weitere XSS-Sicherheitslücke in SAP Supplier Relationship Management. Ein möglicher Exploit und die Auswirkungen sind genau die gleichen wie bei der SAP-Sicherheitsmitteilung #3629325.

Das ORL-Team hat einen ferngesteuerten Funktionsbaustein in SAP NetWeaver (Service Data Download) identifiziert, der Zugriff auf Informationen über das SAP-System und das Betriebssystem gewähren könnte. Die Schwachstelle wird mit der SAP-Sicherheitsmitteilung #3627644 mit einem CVSS-Score von 5,0 gepatcht, indem dem Funktionsbaustein eine ordnungsgemäße Autorisierungsprüfung hinzugefügt wird.

Die SAP-Sicherheitsmitteilung #3640477 mit einem CVSS-Score von 4,3 behebt eine Schwachstelle im IIOP-Dienst von SAP NetWeaver AS Java, die durch vorhersehbare Objektkennungen verursacht wird. Aufgrund der mangelnden Zufälligkeit bei der Vergabe von Objektkennungen im IIOP-Dienst können authentifizierte Angreifer mit geringen Berechtigungen die Kennungen leicht vorhersagen. Dadurch könnten sie Zugriff auf bestimmte Systeminformationen erhalten.

Zusammenfassung und Schlussfolgerungen

Mit 25 Sicherheitshinweisen, darunter vier HotNews-Hinweise und vier High Priority-Hinweise, ist der Patch Day von SAP im September erneut sehr umfangreich. Besondere Aufmerksamkeit sollte den beiden kritischen HotNews-Hinweisen für SAP NetWeaver AS Java gewidmet werden, die in Zusammenarbeit mit den Onapsis Research Labs gepatcht wurden.

SAP Note	Type	Description	Priority	CVSS
3634501	New	[CVE-2025-42944] Insecure Deserialization vulnerability in SAP Netweaver (RMI-P4) BC-JAS-COR-RMT	HotNews	10.0
3643865	New	[CVE-2025-42922] Insecure File Operations vulnerability in SAP NetWeaver AS Java (Deploy Web Service) BC-JAS-DPL	HotNews	9.9
3302162	Update	[CVE-2023-27500] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform BC-DOC-RIT	HotNews	9.6
3627373	New	[CVE-2025-42958] Missing Authentication check in SAP NetWeaver BC-OP-AS4	HotNews	9.1
3642961	New	[CVE-2025-42933] Insecure Storage of Sensitive Information in SAP Business One (SLD) SBO-BC-SLD	High	8.8
3635475	New	[CVE-2025-42916] Missing input validation vulnerability in SAP S/4HANA (Private Cloud or On-Premise) CA-DT-CNV-BAS	High	8.1
3633002	New	[CVE-2025-42929] Missing input validation vulnerability in SAP Landscape Transformation Replication Server CA-LT-OBT	High	8.1
3581811	Update	[CVE-2025-27428] Directory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection) SV-SMG-SDD	High	7.7
3620264	New	[CVE-2025-22228] Security Misconfiguration vulnerability in Spring security within SAP Commerce Cloud and SAP Datahub CEC-SCC-PLA-PL	Medium	6.6
3643832	New	[CVE-2025-42917] Missing Authorization check in SAP HCM (Approve Timesheets Fiori 2.0 application) PA-FIO-TS	Medium	6.5
3635587	New	[CVE-2025-42912] Missing Authorization check in SAP HCM (My Timesheet Fiori 2.0 application) PA-FIO-TS	Medium	6.5
3614067	New	[CVE-2025-42930] Denial of Service (DoS) vulnerability in SAP Business Planning and Consolidation EPM-BPC-NW-SQE	Medium	6.5
3611420	New	[CVE-2023-5072] Denial of Service (DoS) vulnerability due to outdated JSON library used in SAP BusinessObjects Business Intelligence Platform BI-BIP-INV	Medium	6.5
3629325	New	[CVE-2025-42938] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver ABAP Platform CRM-BF-ML	Medium	6.1
3647098	New	[CVE-2025-42920] Cross-Site Scripting (XSS) vulnerability in SAP Supplier Relationship Management SRM-EBP-TEC-ITS	Medium	6.1
3409013	New	[CVE-2025-42915] Missing Authorization Check in Fiori app (Manage Payment Blocks) FI-FIO-AP	Medium	5.4
3619465	New	[CVE-2025-42926] Missing Authentication check in SAP NetWeaver Application Server Java BC-WD-JAV	Medium	5.3
3627644	New	[CVE-2025-42911] Missing Authorization check in SAP NetWeaver (Service Data Download) SV-SMG-SDD	Medium	5.0
3610322	Update	[CVE-2025-42961] Missing Authorization check in SAP NetWeaver Application Server for ABAP BC-DB-DBI	Medium	4.9
3623504	New	[CVE-2025-42918] Missing Authorization check in SAP NetWeaver Application Server for ABAP (Background Processing) BC-CCM-BTC	Medium	4.3
3450692	New	[CVE-2025-42923] Cross-Site Request Forgery (CSRF) vulnerability in SAP Fiori App (F4044 Manage Work Center Groups) PP-BD-WKC	Medium	4.3
3640477	New	[CVE-2025-42925] Predictable Object Identifier vulnerability in SAP NetWeaver AS Java (IIOP Service) BC-JAS-COR-RMT	Medium	4.3
3624943	New	[CVE-2025-42941] Reverse Tabnabbing vulnerability in SAP Fiori (Launchpad) CA-FLP-FE-COR	Low	3.5
3525295	New	[CVE-2025-42927] Information Disclosure due to Outdated OpenSSL Version in SAP NetWeaver AS Java (Adobe Document Service) BC-SRV-FP	Low	3.4
3632154	New	[CVE-2024-13009] Potential Improper Resource Release vulnerability in SAP Commerce Cloud CEC-SCC-PLA-PL	Low	3.1

Onapsis Research Labs aktualisiert wie gewohnt die Onapsis-Plattform, um die neu veröffentlichten Sicherheitslücken einzupflegen und so seinen Kunden den Schutz ihrer Unternehmen zu gewährleisten.

Hier gibt’s noch mehr dazu

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky