SAP Patch Day: Juli 2025

Kritische CVSS-Score-Erhöhung für unsichere Deserialisierungsschwachstelle in SAP SRM Live Auction Cockpit

Die SAP Security Notes im Juli umfassen folgende Highlights:

• Juli-Zusammenfassung – Es wurden insgesamt 30 neue und aktualisierte SAP-Sicherheitspatches veröffentlicht, darunter sechs HotNews und fünf Hinweise mit hoher Priorität.
• Kritisches Update – Die Onapsis Research Labs identifizierten einen CVSS 10.0 für eine Schwachstelle in Live Auction Cockpit, die von SAP ursprünglich mit CVSS 3.9 im Mai Patch Day gekennzeichnet war.
• Beitrag der Onapsis Research Labs – Das Onapsis-Team unterstützte SAP bei der Schließung von 15 Schwachstellen, die von 14 SAP-Sicherheitshinweisen abgedeckt werden.

Zum Juli Patch Day hat SAP 30 neue und aktualisierte SAP-Sicherheitshinweise veröffentlicht. Darunter sind sechs HotNews und fünf als High Priority klassifizierte Hinweise. 14 der Sicherheitshinweise wurden in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. 

Die HotNews Notes im Detail

Im Mai hatte SAP die High Priority Note #3578900 veröffentlicht, die fünf Schwachstellen im Live Auction Cockpit von SAP Supplier Relationship Management (SRM) behebt. Die CVSS-Scores der Schwachstellen lagen zwischen 3.9 (CVE-2025-30012) und 8.6 (CVE-2025-30018). Die Onapsis Research Labs (ORL) haben signifikant kritischere Auswirkungen von CVE-2025-30012 aufgedeckt: Die unsichere Deserialisierungsschwachstelle ermöglicht es nicht authentifizierten Angreifern, beliebige Betriebssystembefehle auf dem Zielsystem als SAP-Administrator auszuführen. Diese Offenlegung veranlasste SAP, den CVSS-Score nun von 3.9 auf den Maximalwert 10.0 zu aktualisieren. Details hierzu wird Onapsis in Kürze bereitstellen.

Das ORL registrierte vier weitere kritische Schwachstellen im Bereich der unsicheren Deserialisierung in SAP NetWeaver AS Java und im Enterprise Portal, die alle als HotNews-Hinweise mit einem CVSS-Score von 9.1 gekennzeichnet sind.

Die SAP Security Note #3610892 behebt eine unsichere Deserialisierungsschwachstelle im XML Data Archiving Service eines SAP NetWeaver AS Java. Die Schwachstelle ermöglicht es einem Angreifer mit administrativen Rechten, ein speziell präpariertes serialisiertes Java-Objekt zu senden, das die Vertraulichkeit, die Integrität und die Verfügbarkeit der Anwendung in hohem Maße gefährdet.

Die zweite unsichere Deserialisierungsschwachstelle wurde durch die ORL im Log Viewer eines SAP NetWeaver AS Java entdeckt. Sie ermöglicht authentifizierten Angreifern mit administrativen Rechten und vollem Zugriff auf den Log Viewer die Ausführung von bösartigem Code, wodurch sie die vollständige Kontrolle über die betroffene Anwendung und das System erlangen können. Der Sicherheitshinweis #3621771 umfasst einen Patch und einen Workaround sowie ein FAQ für weitere Informationen.

Die Research Labs von Onapsis haben SAP zudem beim Patchen von zwei unsicheren Deserialisierungsschwachstellen in SAP NetWeaver Enterprise Portal unterstützt. Sie erlauben es einem privilegierten Benutzer, nicht vertrauenswürdige oder bösartige Inhalte hochzuladen, die zu einer vollständigen Kompromittierung des Hostsystems führen können. Sicherheitshinweis #3621236 behebt dieses Problem in der Portaladministration und #3620498 bietet einen Fix für das Federated Portal Network.

Der Hinweis #3618955, mit einem CVSS-Score von 9.9, wurde ebenfalls von unabhängigen Forschern gemeldet und behebt eine Sicherheitslücke bei der Remote-Code-Ausführung in SAP S/4HANA und SAP SCM. Ein verwundbares remote-fähiges Funktionsmodul der Anwendung ermöglicht es einem Angreifer mit erhöhten Rechten, einen neuen Bericht mit beliebigem Code zu erstellen und so möglicherweise die vollständige Kontrolle über das betroffene SAP-System zu erlangen. Der Patch schaltet diese Möglichkeit für externe Aufrufe des Funktionsbausteins aus.

Die High Priority Notes im Detail

Das ORL hat eine Schwachstelle in SAP NetWeaver AS ABAP und in der ABAP Platform entdeckt, die nach der Implementierung von SAP Security Note #3007182 und #3537476 auftritt. Ein nicht authentifizierter Angreifer kann einen Hashed Message Authentication Code (HMAC), der von einem System extrahiert wurde, dem bestimmte Sicherheitspatches fehlen, in einem Replay-Angriff gegen ein anderes System verwenden. Selbst wenn das Zielsystem vollständig gepatcht ist, kann ein erfolgreicher Angriff zu einer vollständigen Kompromittierung des Systems führen. Der Hinweis #3600846 mit einem CVSS-Score von 8.1 löst dies und beinhaltet eine Anleitung für eine manuelle Korrektur.

Der mit einem CVSS-Score von 8.1 versehene Sicherheitshinweis #3623440 behebt eine Schwachstelle in SAP NetWeaver AS ABAP, die durch eine fehlende Berechtigungsprüfung verursacht wird. Ein remote-fähiger Funktionsbaustein, der alle Betriebsarten und Instanzen löscht, ist nicht durch eine explizite Berechtigungsprüfung geschützt, was zu einer vollständigen Beeinträchtigung der Integrität und Verfügbarkeit des Systems führen kann.

Der SAP Sicherheitshinweis #3565279, der mit einem CVSS-Score von 8.0 gekennzeichnet ist, behebt eine Schwachstelle in SAP Business Objects Business Intelligence Platform (CMC), die zu unsicheren Dateioperationen führt. Die Schwachstelle wird durch eine ältere Version von Apache Struts verursacht, die für CVE-2024-53677 anfällig ist. Der Patch enthält eine aktualisierte, sichere Version von Apache Struts.

Eine Schwachstelle in SAP Business Warehouse und SAP Plug-In Basis (CVSS-Score 7.7) wird mit SAP Security Note #3623255 gepatcht. Ein remote-fähiger Funktionsbaustein erlaubt es Benutzern, zusätzliche Felder in beliebige Tabellen und Strukturen einzufügen. Bei erfolgreicher Ausnutzung kann ein Angreifer das System vollständig unbrauchbar machen, indem er bei der Anmeldung kurze Dumps auslöst. Der Patch fügt eine explizite Berechtigungsprüfung in den betroffenen Funktionsbaustein ein.

Die High Priority Security Note #3610591 mit einem CVSS-Score von 7.6 enthält aktualisierte Informationen zu einer Directory Traversal-Schwachstelle, die ursprünglich am Juni Patch Day von SAP gepatcht wurde. Unter anderem wurde der Hinweis um KBA 3619959 ergänzt. 

Der Beitrag von Onapsis

Zusätzlich zu den oben genannten HotNews und High Priority Notes unterstützte das Team der Onapsis Research Labs SAP bei der Schließung von neun Schwachstellen mit mittlerer Priorität, die von acht SAP-Sicherheitshinweisen abgedeckt werden. Diese umfassen drei Schwachstellen, die das Cross-Site Scripting betreffen, zwei betreffen Open Redirect und vier einen Missing Authorization Check.

Die SAP Security Note #3604212, gekennzeichnet mit einem CVSS von 6.1, behebt eine Cross-Site-Scripting-Schwachstelle in SAP Business Warehouse, die nur ausgenutzt werden kann, wenn der SICF-Service ‚BExLoading‘ aktiviert und der Client-Netzwerkschicht ausgesetzt ist. Ein Angreifer kann einen authentifizierten Benutzer dazu verleiten, auf einen bösartigen Link zu klicken, der ein eingeschleustes Skript enthält, das im Browser des Opfers ausgeführt wird.

Eine ähnliche Cross-Site-Scripting-Schwachstelle wurde in SAP NetWeaver AS ABAP und ABAP Platform gefunden. Sie ist ebenfalls mit einem CVSS-Score von 6.1 versehen und kann mit dem SAP-Sicherheitshinweis #3596987 gepatcht werden.

Der Hinweis #3617131 behebt zwei Schwachstellen in SAP NetWeaver AS ABAP (beide CVSS-Score 6.1). Bei der ersten Schwachstelle handelt es sich um eine Reflected Cross-Site Scripting-Schwachstelle, die ausgenutzt werden kann, um bei der Generierung von Webseiten bösartige Inhalte zu generieren, die, wenn sie im Browser eines Opfers ausgeführt werden, zu geringen Auswirkungen auf Vertraulichkeit und Integrität führen können. Die zweite Schwachstelle ist eine Open-Redirect-Schwachstelle, die es einem nicht authentifizierten Angreifer ermöglicht, einen URL-Link zu erstellen, in den ein bösartiges Skript eingebettet ist, das nicht ordnungsgemäß bereinigt wurde. Wenn ein Opfer auf diesen Link klickt, wird das Skript im Browser des Opfers ausgeführt und es wird auf eine vom Angreifer kontrollierte Website umgeleitet.

Eine weitere Open Redirect-Schwachstelle wurde vom ORL-Team in SAP BusinessObjects Content Administrator Workbench entdeckt. Sie kann durch die Implementierung der Security Note #3617380 gepatcht werden (CVSS-Score 6.1).

Die vier Schwachstellen in Bezug auf fehlende Berechtigungsprüfungen (Missing Authorization Check), die von SAP in Zusammenarbeit mit dem ORL-Team gepatcht wurden, betreffen vier remote-fähige Funktionsmodule. Weitere Details hierzu erhalten Sie im Onapsis-Blog.

Zusammenfassung und Fazit

Mit 30 SAP-Sicherheitshinweisen, darunter sechs HotNews und fünf Hinweisen mit hoher Priorität, ist der Juli Patch Day außergewöhnlich für SAP-Kunden. Onapsis freut sich, dass seine Research Labs einen wichtigen Beitrag zur Erhöhung der Sicherheit von SAP-Anwendungen leisten konnten.

Wie immer aktualisieren die Onapsis Research Labs bereits die Onapsis-Plattform, um die neu veröffentlichten Schwachstellen im Produkt zu berücksichtigen, damit Unternehmen sich optimal schützen können.

Für weitere Informationen über die neuesten SAP-Sicherheitsprobleme und unsere kontinuierlichen Bemühungen, Wissen mit der Security-Community zu teilen, abonnieren Sie den monatlichen Defenders Digest Onapsis Newsletter auf LinkedIn.

Weitere Informationen und Details zu allen Sicherheitshinweisen finden Sie hier auf dem Onapsis-Blog.

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky