Thought Leadership
SAP hat im November mehrere Schwachstellen behoben, darunter eine Lücke mit Höchstwertung in einer Datenbanküberwachungslösung und eine gefährliche Injection-Schwachstelle in der Lifecycle-Management-Plattform.
Der Software-Konzern hat sein November-Sicherheitspaket veröffentlicht und dabei verschiedene Schwachstellen in mehreren Produkten geschlossen. Zwei davon stuft der Konzern als kritisch ein und empfiehlt Administratoren die zeitnahe Installation der verfügbaren Patches.
Fest verdrahtete Zugangsdaten im Datenbankmonitor
Besonders gravierend ist eine Schwachstelle in der textbasierten Version des SQL Anywhere Monitor, die mit der Kennung CVE-2025-42890 versehen wurde. Sie erreicht auf der CVSS-Skala den Maximalwert von 10.0. Der Grund: Im Code waren Zugangsdaten fest hinterlegt, wodurch Unbefugte Zugriff auf Ressourcen und Funktionen erhalten können. Im schlimmsten Fall lässt sich darüber beliebiger Code zur Ausführung bringen.
Die Schwere der Auswirkungen hängt davon ab, wie die kompromittierten Credentials verwendet werden – möglicherweise ermöglichen sie den Zugriff auf administrative Bereiche. Der SQL Anywhere Monitor dient der Überwachung und Alarmierung bei Datenbanken und wird typischerweise in Umgebungen mit verteilten oder extern betriebenen Datenbanksystemen eingesetzt. Die textbasierte Variante läuft häufig auf Systemen, die nicht ständig beaufsichtigt werden.
Unzureichende Eingabeprüfung im Solution Manager
Die zweite kritische Schwachstelle (CVE-2025-42887) betrifft den SAP Solution Manager und erhielt einen CVSS-Wert von 9.9. Hier fehlt die Validierung von Eingaben beim Aufruf bestimmter Funktionsmodule, die remote erreichbar sind. Authentifizierte Angreifer können dadurch Schadcode einschleusen und im Erfolgsfall die vollständige Systemkontrolle erlangen – mit entsprechenden Folgen für Datensicherheit, Systemintegrität und Verfügbarkeit.
Der Solution Manager fungiert als zentrale Verwaltungs- und Überwachungsplattform für SAP-Landschaften und kommt hauptsächlich in großen Unternehmen zum Einsatz, die umfangreiche Systemlandschaften mit verschiedenen SAP-Anwendungen betreiben.
Weitere Korrekturen im Update-Paket
Das November-Update enthält zudem die Behebung einer hochkritischen Schwachstelle (CVE-2025-42940) sowie 14 weiterer Sicherheitsprobleme mit mittlerem Schweregrad. Darüber hinaus hat SAP eine Nachbesserung für CVE-2025-42944 bereitgestellt, eine kritische NetWeaver-Lücke, für die bereits im Oktober ein erster Patch erschienen war.
SAP-Systeme verwalten in vielen Organisationen geschäftskritische Daten und Prozesse, was sie zu attraktiven Angriffszielen macht. SecurityBridge-Forscher hatten früher in diesem Jahr über aktive Angriffe auf eine kritische Code-Injection-Schwachstelle (CVE-2025-42957) berichtet, die mehrere SAP-Produkte betraf.
Bisher keine Angriffe bekannt
Für die beiden aktuell gepatchten kritischen Schwachstellen sind nach Angaben von SAP bislang keine aktiven Angriffe bekannt geworden. Administratoren sollten die Updates dennoch zügig einspielen. Ausführliche Informationen sowie Handlungsempfehlungen zu CVE-2025-42890 und CVE-2025-42887 stellt SAP seinen Kunden über das Support-Portal zur Verfügung.
