SAP Security Patch Day – August 2025

Dieser Beitrag enthält Informationen zu Sicherheitshinweisen, mit denen Schwachstellen in SAP-Produkten behoben werden. SAP empfiehlt seinen Kunden dringend, das Support-Portal zu besuchen und Patches vorrangig zu installieren, um ihre SAP-Landschaft zu schützen.

Am 12. August 2025 wurden im Rahmen des SAP Security Patch Day 15 neue Sicherheitshinweise veröffentlicht. Darüber hinaus gab es 4 Aktualisierungen zu zuvor veröffentlichten Sicherheitshinweisen.

Kritische Sicherheitslücken durch Code-Injection führen zu wichtigen SAP-Sicherheitsupdates

Drei Code-Injection-Schwachstellen, die es Angreifern ermöglichen könnten, beliebigen Code mit erhöhten Rechten auszuführen, zählen zu den schwerwiegendsten Sicherheitslücken, die diesen Monat behoben wurden.

Besonders gravierend sind zwei neue kritische Sicherheitslücken: CVE-2025-42957, die SAP S/4HANA betrifft, sowie CVE-2025-42950, die SAP Landscape Transformation betrifft. Beide erhielten die höchste Schweregradbewertung. Zudem hat SAP eine bereits bekannte Code-Injection-Schwachstelle in S/4HANA (CVE-2025-27429), die erstmals im April 2025 gepatcht wurde, mit einem Update erneut adressiert.

Die betroffenen Schwachstellen sind besonders alarmierend, da sie Kernprodukte von SAP betreffen, die in vielen Unternehmensumgebungen im Einsatz sind. Die Angriffe können mit geringem Aufwand und ohne Benutzerinteraktion durchgeführt werden, was sie zu einem attraktiven Ziel für Cyberkriminelle macht, die SAP-Systeme kompromittieren wollen.

Der aktuelle Patch-Zyklus im August behebt eine Reihe von Schwachstellen mit unterschiedlichem Schweregrad in mehreren SAP-Produkten. Neben den kritischen Code-Injection-Lücken wurden unter anderem Cross-Site-Scripting-Schwachstellen (XSS) im NetWeaver Application Server beseitigt, Probleme bei der Umgehung von Autorisierungen sowie Schwachstellen bei der Offenlegung von Informationen.

Besonders hervorzuheben sind auch Sicherheitsupdates für SAP GUI für Windows und den SAP Cloud Connector, die die umfassende Bandbreite der Sicherheitsmaßnahmen von SAP verdeutlichen. Mehrere XSS-Schwachstellen mit CVSS-Bewertungen von 6,1, die Komponenten des NetWeaver Application Servers betreffen, erfordern zwar Nutzerinteraktion, könnten aber in bestimmten Fällen Phishing oder Datendiebstahl erleichtern.

SAP empfiehlt seinen Kunden dringend, die Patches möglichst schnell über das Support-Portal zu beziehen und priorisiert insbesondere die drei kritischen Code-Injection-Sicherheitslücken. Unternehmen sollten vorrangig Systeme patchen, die internetseitig erreichbar sind und sensible Daten verarbeiten.

Zur Unterstützung der Kunden hat SAP zudem umfassende Richtlinien zur Sicherheitskonfiguration veröffentlicht, um eine stabile Sicherheitslage im gesamten SAP-Portfolio zu gewährleisten. Angesichts des hohen Risikos durch die Injektionslücken rät SAP Sicherheitsteams, den aktuellen Patch-Zyklus als dringend zu behandeln und die schnelle Umsetzung auf allen betroffenen Systemen mit den SAP-Administratoren abzustimmen.

Quelle: SAP

Noch mehr Lesestoff für Sie

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky