Thought Leadership
Pünktlich zum monatlichen Patch Day hat SAP 26 Sicherheitshinweise veröffentlicht, darunter vier als besonders kritisch eingestufte Meldungen. Die schwerwiegendste Schwachstelle erreicht einen CVSS-Score von 9.9 und betrifft S/4HANA-Installationen.
Zum Security Patch Day im August 2025 hat der Enterprise-Software-Riese aus Walldorf 15 neue Security Notes veröffentlicht und vier bestehende Patches aktualisiert (hier zu finden). Wie das auf SAP-Sicherheit spezialisierte Unternehmen Onapsis mitteilte, sind damit insgesamt 26 neue und überarbeitete Fixes seit dem letzten Patch Tuesday verfügbar.
Kritische Code-Injection-Lücken gefixt
Vier der Patches stuft SAP als “Hot News” beziehungsweise kritisch ein – zwei davon sind neu, zwei sind Updates bestehender Korrekturen. Die neuen kritischen Patches adressieren die Schwachstellen CVE-2025-42950 und CVE-2025-42957, die Onapsis als Code-Injection-Probleme beschreibt.
Beide Vulnerabilities ermöglichen es Angreifern, beliebigen Code auszuführen und damit eine vollständige Systemkompromittierung zu erreichen. Laut Onapsis handelt es sich dabei um dieselbe Schwachstelle, die jedoch verschiedene CVE-Nummern für unterschiedliche Produkte erhalten hat: CVE-2025-42957 betrifft die S/4HANA-ERP-Software, während CVE-2025-42950 die ältere ERP Central Component (ECC) tangiert.
Weitere High-Priority-Fixes
Zu den weiteren hochpriorisierten Patches gehört ein defektes Autorisierungsproblem in SAP Business One (CVE-2025-42951), das authentifizierten Angreifern Admin-Rechte verschaffen kann. Außerdem wurden mehrere Memory-Corruption-Bugs im NetWeaver Application Server ABAP (CVE-2025-42976) behoben, die zu Informationslecks führen können.
Die übrigen neuen Schwachstellen mit “niedriger” oder “mittlerer” Priorität betreffen S/4HANA, NetWeaver, die ABAP Platform, Cloud Connector und weitere Produkte.
Schnelle Installation empfohlen
Unternehmen sollten die verfügbaren Updates zeitnah einspielen, da SAP-Schwachstellen regelmäßig von Cyberkriminellen ausgenutzt werden. Erst kürzlich waren SAP-Kunden vor einer NetWeaver-Zero-Day-Lücke gewarnt worden, die seit April gepatcht war, aber bereits seit Januar aktiv ausgenutzt wurde. NetWeaver-Vulnerabilities stehen sowohl bei Ransomware-Gruppen als auch bei Cyber-Spionen hoch im Kurs.
(lb/Onapsis)
