SAP Patchday Juli 2025 6 kritische Schwachstellen beim SAP-Patchday

Ein veraltetes Applet sowie unsichere Deserialisierung sind in diesem Monat Probleme, mit denen sich SAP auseinandersetzen musste. Denn diese Soft­ware-Fehler führten zu kritischen Sicherheitslücken, die schnellst­mögliche geschlossen werden sollten.

Beim SAP-Patchday im Juli 2025 informiert der Softwarehersteller über 36 Sicherheitslücken. Sechs davon sind kritisch, eine davon erhielt sogar den maximalen CVSS-Wert von 10.0.

Termine 2025

Wann ist der Patchday von SAP?

Veraltetes Java-Applet im Supplier Relationship Management

Die bedrohlichste der von SAP gemeldeten Schwachstellen ist CVE-2025-30012. Sie hat einen CVSS-Score von 10.0 und betrifft das Live-Auktions-Cockpit (LAC) in SAP Supplier Relationship Management (SRM) in der Version SRM_SERVER 7.14. Das LAC ist eine webbasierte Anwendung, die es Einkäufern und Lieferanten ermöglicht, in Echtzeit elektronische Auktionen durch­zu­führen. Applets sind klein Anwendungen, die innerhalb eines größeren Programms oder auf Webseiten bestimmte Aufgaben ausführen sollen. In der Regel sind sie in Java geschrieben, um interaktive oder dynamische Funktionen zu unterstützen. Mittlerweile sind Applets weitgehend veraltet und moderne Webbrowser unterstützen Java-Applets nicht mehr, da HTML5, JavaScript und andere Webtechnologien diese Funktionen ohne Plugins bieten, was die Sicherheit erhöht.

In der LAC-Komponente des Supplier Relationship Managements von SAP wird ein solch ver­altetes Java-Applet verwendet. Dieses akzeptiert binäre Java-Objekte in einem bestimmten Kodierungsformat. Ein Cyberangreifer kann dies ausnutzen, um schädliche Daten zu senden, die vom System verarbeitet werden. Dadurch kann der Angreifer beliebige Befehle auf dem Server ausführen, als wäre er ein Administrator. Neben Dienstunterbrechungen könnte eine erfolgreiche Ausnutzung von CVE-2025-30012 auch zu Datenverlust oder -manipulation sowie einer vollständigen Systemübernahme führen. Im selben Kontext mit CVE-2025-30012 stehen die Schwachstellen CVE-2025-30009, CVE-2025-30010, CVE-2025-30011 und CVE-2025-30018.

SAP Patchday Juni 2025

6 SAP-Schwachstellen basieren auf fehlender Berechtigungsprüfung

Weitere kritische Sicherheitslücken bei SAP

Weitere kritische Schwachstellen des Juli-Patchdays sind:

• CVE-2025-42967 (CVSS 9.1): Code-Injection-Schwachstelle in S/4HANA und Supply Chain Management (Characteristic Propagation)

• CVE-2025-42980 (CVSS 9.1): Unsichere Deserialisierung in NetWeaver Enterprise Portal Federated Portal Network

• CVE-2025-42964 (CVSS 9.1): Unsichere Deserialisierung in NetWeaver Enterprise Portal Administration

• CVE-2025-42966 (CVSS 9.1): Unsichere Java-Deserialisierung in NetWeaver (XML Data Archiving Service)

• CVE-2025-42963 (CVSS 9.1): Unsichere Java-Deserialisierung in NetWeaver Application Server for Java (Log Viewer)

Sicherheitslücke ermöglicht Systemkontrolle

Notfallpatch für kritische Zero-Day-Schwachstelle in SAP NetWeaver

Bei unsicherer Deserialisierung handelt es sich um Software-Fehler, bei denen Daten, die von außen kommen und ein Objekt darstellen sollen, vom System ohne ausreichende Prüfung wieder in verwendbare Objekte umgewandelt – also deserialisiert – werden. In einem solchen Fall können Cyberkriminelle es schaffen, schädliche Objekte in das Zielsystem einzuschleusen und beim Deserialisieren beliebigen Code ausführen lassen. Außerdem könnten sie Daten verändern oder lesen, auf die sie eigentlich keinen Zugriff haben sollten oder gar die voll­ständige Kontrolle über das System erlangen.

SAP empfiehlt seinen Kunden dringend, über das Support-Portal die aktuellen Versionen der Lösungen zu installieren. Diese enthalten die Patches für alle Sicherheitslücken des Patchdays im Juli.

Termine

Das war der Microsoft Patchday 2025

(ID:50470072)