Thought Leadership
Im Rahmen des Juli-Patch-Days hat SAP insgesamt 31 Sicherheitshinweise herausgegeben, darunter 27 neue und vier aktualisierte Advisories. Sechs der behandelten Schwachstellen werden als kritisch eingestuft.
Besondere Aufmerksamkeit verdient die Neubewertung einer bereits im Mai dokumentierten Sicherheitslücke im Supplier Relationship Management (SRM). Was zunächst als Schwachstelle mit hoher Priorität galt, wurde nun als kritisch eingestuft – der CVSS-Wert stieg von 3,9 auf den Maximalwert von 10,0.
Die unter CVE-2025-30012 katalogisierte Schwachstelle kann von Angreifern ohne jegliche Authentifizierung ausgenutzt werden, um mit Administratorrechten beliebige Befehle auf dem Betriebssystem auszuführen. Ursache ist eine veraltete Java-Applet-Komponente im Live Auction Cockpit, die speziell präparierte Anfragen unsicher deserialisiert.
Weitere kritische Schwachstellen in S/4HANA und NetWeaver
Eine zweite gravierende Sicherheitslücke (CVE-2025-42967) mit einem CVSS-Score von 9,9 betrifft die Systeme S/4HANA und SCM. Hier können bereits Nutzer mit Standard-Berechtigungen eigene Code-Segmente in neu erstellte Reports einschleusen und damit die vollständige Kontrolle über das betroffene SAP-System erlangen.
Zusätzlich wurden vier kritische Deserialisierungsfehler in verschiedenen NetWeaver-Komponenten behoben. Die Sicherheitslücken CVE-2025-42963, CVE-2025-42964, CVE-2025-42966 und CVE-2025-42980 (alle mit CVSS-Score 9,1) können laut dem Sicherheitsunternehmen Onapsis von Angreifern mit erweiterten Rechten zur Kompromittierung der Anwendung oder kompletten Systemübernahme genutzt werden.
Hochpriorisierte Patches für Business-Komponenten
Neben den kritischen Schwachstellen wurden auch vier Sicherheitslücken mit hohem Schweregrad in NetWeaver, Business Objects und Business Warehouse geschlossen. Darüber hinaus aktualisierte SAP einen bereits im Vormonat veröffentlichten Hinweis zu einer Directory-Traversal-Schwachstelle in der Visual Composer-Komponente von NetWeaver.
