SAP Patch Day November 2025: Kritische Lücken in SQL Anywhere Monitor und SAP Solution Manager geschlossen

Patch-Day-Zusammenfassung: 26 neue und aktualisierte SAP-Sicherheitshinweise

SAP hat am Patch Tuesday im November 2025 26 neue und überarbeitete Security Notes veröffentlicht. Darunter befinden sich vier HotNews-Hinweise (CVSS bis 10,0) und zwei High Priority-Hinweise (CVSS 7,5).

Sieben der neuen Sicherheitshinweise entstanden in Zusammenarbeit mit den Onapsis Research Labs (ORL).

HotNews

SQL Anywhere Monitor – Kritische Codeausführung über fest codierte Zugangsdaten

SAP Security Note #3666261 (CVSS 10,0) behebt eine gravierende Sicherheitslücke in SQL Anywhere Monitor.
Fest codierte Anmeldedaten ermöglichen es Angreifern, beliebigen Code auszuführen und damit die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig zu kompromittieren.

Der Patch entfernt den SQL Anywhere Monitor vollständig.
Als temporäre Maßnahme empfiehlt SAP, die Nutzung des Monitors sofort einzustellen und sämtliche Monitor-Instanzen zu löschen.

Code Injection in SAP Solution Manager

Eine weitere kritische Schwachstelle betrifft den SAP Solution Manager.
SAP Security Note #3668705 (CVSS 9,9) behebt eine Code-Injection-Sicherheitslücke infolge fehlender Eingabesanitierung.
Authentifizierte Angreifer konnten zuvor über einen remote-fähigen Funktionsbaustein schädlichen Code einschleusen.
Der Patch ergänzt eine strikte Eingabevalidierung, die nicht-alphanumerische Zeichen weitgehend ausschließt.

Updates bestehender HotNews

• #3660659 – Unsichere Deserialisierung in SAP NetWeaver AS Java: Patch erweitert, Workarounds restrukturiert (CVSS 10,0).

• #3647332 – File Upload Schwachstelle in SAP Supplier Relationship Management: Aktualisierte Gültigkeitsinformationen (CVSS 9,0).

High Priority Notes: CommonCryptoLib & Commerce Cloud

Speicherbeschädigung in CommonCryptoLib

SAP Security Note #3633049 (CVSS 7,5) adressiert eine Speicherbeschädigungsschwachstelle in SAP CommonCryptoLib.
Fehlende Grenzprüfungen ermöglichten das Senden manipulierter Daten, die zu Speicherfehlern und Systemabstürzen führen konnten.
Das Problem wurde mit CommonCryptoLib 8.5.60 behoben. Weitere Details folgen in SAP Note #3677814 (KBA in Vorbereitung).

Denial-of-Service in SAP Commerce Cloud

Der aktualisierte Hinweis #3664466 (CVSS 7,5) betrifft eine DoS-Schwachstelle in SAP Commerce Cloud.
SAP hat die Abschnitte Symptom, Ursache und Voraussetzungen sowie Lösung präzisiert und den Patch erweitert.

Onapsis Research Labs: Sieben Patches im November

Die Onapsis Research Labs (ORL) haben erneut einen erheblichen Beitrag zum SAP Patch Day geleistet.
Insgesamt sieben SAP-Sicherheitshinweise wurden in Zusammenarbeit mit ORL veröffentlicht – darunter vier Patches für den SAP Business Connector (BC), eine Komponente mit überraschend langer Lebensdauer.

SAP Business Connector: Alte Technologie, neue Risiken

Trotz seines Alters – ursprünglich 1999 veröffentlicht – bleibt der SAP Business Connector (BC) weit verbreitet.
Er dient der Integration von Nicht-SAP-Systemen über offene Standards und wurde mehrfach im Support-Zeitraum verlängert – aktuell bis Ende 2030.

Die von ORL entdeckten Schwachstellen umfassen:

• #3665900 (CVSS 6,8): OS Command Injection durch manipulierte Inhalte – vollständige Systemkompromittierung möglich.

• #3666038 (CVSS 6,8): Path Traversal ermöglicht unautorisierte Dateioperationen auf dem Hostsystem.

• #3665907 (CVSS 6,1): Reflektiertes XSS erlaubt das Ausführen bösartiger Skripte im Browserkontext.

• #3662000 (CVSS 6,1): Open Redirect – ermöglicht das Umleiten von Nutzern auf präparierte, fremde Webseiten.

Weitere von Onapsis unterstützte Patches

• #3660969 – JNDI-Injection in SAP NetWeaver Enterprise Portal: Unautorisierte JNDI-Zugriffe möglich (CVSS 6,5).

• #3642398 – Open Redirect in SAP E-Recruiting BSP: Angreifer können Nutzer zu fremden Seiten leiten (CVSS 6,1).

• #3639264 – Fehlende Authentifizierung in SAP HANA 2.0 (hdbrss): Erlaubt unautorisierte Funktionsaufrufe mit geringem Vertraulichkeitsverlust (CVSS 5,8).

Fazit: Kritische Lücken erfordern sofortiges Handeln

Der SAP Patch Day im November 2025 verdeutlicht erneut die Notwendigkeit regelmäßiger Updates und konsequenter Systemhärtung.
Besonders die vollständige Entfernung des SQL Anywhere Monitors sowie die Code-Injection-Schwachstelle in SAP Solution Manager sollten Administratoren umgehend adressieren.

Unternehmen, die auf SAP-Umgebungen setzen, sind gut beraten, die aktuellen Sicherheitsnotes zeitnah einzuspielen und die Empfehlungen von SAP genau zu befolgen.

Empfehlung für IT-Sicherheitsverantwortliche

• Patches sofort priorisieren – insbesondere Notes #3666261 und #3668705

• SQL Anywhere Monitor deaktivieren und löschen

• CommonCryptoLib und Commerce Cloud aktualisieren

• Business Connector-Umgebungen überprüfen und härten

SAP Note	Type	Description	Priority	CVSS
3666261	New	[CVE-2025-42890] Insecure key & Secret Management vulnerability in SQL Anywhere Monitor (Non-Gui) BC-SYB-SQA-ADM	HotNews	10
3660659	Update	[CVE-2025-42944] Security Hardening for Insecure Deserialization in SAP NetWeaver AS Java BC-JAS-COR	HotNews	10
3668705	New	[CVE-2025-42887] Code Injection vulnerability in SAP Solution Manager SV-SMG-SVD-SWB	HotNews	9.9
3647332	Update	[CVE-2025-42910] Unrestricted File Upload Vulnerability in SAP Supplier Relationship Management SRM-UIA-SHP-BD	HotNews	9
3633049	New	[CVE-2025-42940] Memory Corruption vulnerability in SAP CommonCryptoLib BC-IAM-SSO-CCL	High	7.5
3664466	Update	[CVE-2025-5115] Denial of service (DOS) in SAP Commerce Cloud (Search and Navigation) CEC-SCC-COM-SRC-SER	High	7.5
3643385	New	[CVE-2025-42895 ] Code Injection vulnerability in SAP HANA JDBC Client HAN-DB-CLI	Medium	6.9
3665900	New	[CVE-2025-42892] OS Command Injection vulnerability in SAP Business Connector BC-MID-BUS	Medium	6.8
3666038	New	[CVE-2025-42894] Path Traversal vulnerability in SAP Business Connector BC-MID-BUS	Medium	6.8
3660969	New	[CVE-2025-42884] JNDI Injection vulnerability in SAP NetWeaver Enterprise Portal EP-PIN-APF-CAT	Medium	6.5
3642398	New	[CVE-2025-42924] Open Redirect vulnerabilities in SAP S/4HANA landscape (SAP E-Recruiting BSP) PA-ER	Medium	6.1
3662000	New	[CVE-2025-42893] Open Redirect vulnerability in SAP Business Connector BC-MID-BUS	Medium	6.1
3665907	Update	[CVE-2025-42886] Reflected Cross-Site Scripting (XSS) vulnerability in SAP Business Connector BC-MID-BUS	Medium	6.1
3597355	Update	[CVE-2025-42942] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server for ABAP BC-MID-ICF	Medium	6.1
3639264	New	[CVE-2025-42885] Missing authentication in SAP HANA 2.0 (hdbrss) HAN-DB-ENG	Medium	5.8
3651097	New	[CVE-2025-42888] Information Disclosure vulnerability in SAP GUI for Windows BC-FES-GUI	Medium	5.5
2886616	New	[CVE-2025-42889] SQL Injection vulnerability in SAP Starter Solution (PL SAFT) FI-LOC-SAF-PL	Medium	5.4
3441087	Update	[CVE-2025-42984] Missing Authorization check in SAP S/4HANA (Manage Central Purchase Contract application) MM-PUR-HUB-CTR	Medium	5.4
3643603	New	[CVE-2025-42919] Information Disclosure vulnerability in SAP NetWeaver Application Server Java BC-JAS-WEB	Medium	5.3
3652901	New	[CVE-2025-42897] Information Disclosure vulnerability in SAP Business One (SLD) SBO-BC-SLD	Medium	5.3
3627644	Update	[CVE-2025-42911] Missing Authorization check in SAP NetWeaver (Service Data Download) SV-SMG-SDD	Medium	5
3643337	New	[CVE-2025-42882] Missing Authorization check in SAP NetWeaver Application Server for ABAP BC-DB-DB6	Medium	4.3
3530544	New	[CVE-2025-42899] Missing Authorization check in SAP S4CORE (Manage Journal Entries) FI-FIO-GL-TRA	Medium	4.3
3617142	Update	[CVE-2025-31672] Deserialization Vulnerability in SAP BusinessObjects (Web Intelligence and Platform Search) BI-RA-WBI	Low	3.5
3426825	New	[CVE-2025-23191] Cache Poisoning through header manipulation vulnerability in SAP Fiori for SAP ERP OPU-GW-COR	Low	3.1
3634053	New	[CVE-2025-42883] Insecure File Operations vulnerability in SAP NetWeaver Application Server for ABAP (Migration Workbench) BC-SRV-DX-DXW	Low	2.7

Passend dazu:

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon