Mobile-Menu

SAP Patchday April 2025 Kritische Sicherheitslücke in SAP S/4HANA fungiert als Hintertür

Von Melanie Staudacher 3 min Lesedauer

Drei der Sicherheitsupdates vom SAP Patchday schließen kritische Sicher­heitslücken in S/4HANA, Landscape Transformation und Financial Con­solidation. Vor allem die Schwachstelle in der weitverbreiteten ERP-Suite S/4HANA ist gefährlich, das sie Remote Code Execution ermöglicht.

Beim SAP Patchday schließt der Hersteller Sicherheitslücken unter anderem in den Lösungen S/4HANA, Landscape Transformation, Financial Consolidation, NetWeaver, Capital Yield Tax Management und ERP BW Business Content.(Bild: Dall-E / KI-generiert)
Beim SAP Patchday schließt der Hersteller Sicherheitslücken unter anderem in den Lösungen S/4HANA, Landscape Transformation, Financial Consolidation, NetWeaver, Capital Yield Tax Management und ERP BW Business Content.
(Bild: Dall-E / KI-generiert)

Von den insgesamt 18 Security Notes, die SAP am Patch Tuesday veröffentlichte, sind zwei Updates von Schwachstellen, die bereits einmal adressiert wurden. CVE-2025-0064 (CVSS 8.8) hat SAP schon im Februar-Patchday entdeckt und mit dem April-Update behoben. Bei dieser Sicherheitslücke handelte es sich um eine unzulässige Autorisierung in der Business Intelligence Platform. Ungepacht ermöglicht die Schwachstelle CVE-2025-27430, die SAP beim Patchday im März bereits einmal versuchte zu schließen, einen Server-Side-Request-Forgery-Angriff. Hier ist die Schwere der Sicherheitslücke mit einem CVSS von 3.5 jedoch relativ gering.

Kritische Sicherheitslücken bei SAP

Unter den aufgedeckten Schwachstellen finden sich drei Sicherheitslücken, die als kritisch eingestuft wurden:

  • CVE-2025-27429 (CVSS 9.9): Dies ist eine Code-Injection-Sicherheitslücke in SAP S/4HANA (Private Cloud), die es Angreifern mit Benutzerrechten ermöglicht, beliebigen ABAP-Code (Advanced Business Application Programming) in das System einzuschleusen und dabei Autorisierungsprüfungen zu umgehen. Dies wird ermöglicht durch eine Schwachstelle in einem Funktionsmodul von S/4HANA, die praktisch als Hintertür fungiert und das Risiko einer vollständigen Systemkompromittierung birgt, da sie per Remote Function Call (RFC) aus der Ferne ausnutzbar ist.
  • CVE-2025-31330 (CVSS 9.9): Hat ein Cyberkrimineller Nutzerrechte erlangt, ermöglicht ihm diese Code-Injection-Schwachstelle in SAP Landscape Transformation, beliebigen ABAP-Code einzufügen. Auch hier ist eine Schwachstelle in einem Remote-fähigen Funktionsmodul schuld.
  • CVE-2025-30016 (CVSS 9.8): Hierbei handelt es sich um eine Sicherheitslücke bei der Authentifizierungsumgehung in SAP Financial Consolidation. Ein nicht authentifizierter Cyberkrimineller könnte bei erfolgreicher Ausnutzung Zugriff auf das Administratorenkonto erlangen. Die Sicherheitslücke entstand durch unzureichende Authentifizierungsvorgaben.

Admins sollten schnellstmöglich die bereitgestellten Patches für diese Schwachstellen installieren. Ansonsten könnten Cyberkriminelle Schadcode installieren und möglicherweise Systeme übernehmen.

Die weiteren Sicherheitslücken des SAP Patchdays sind:

  • CVE-2025-23186 (CVSS 8.5): Mixed-Dynamic-RFC-Destination-Sicherheitslücke durch Remote Function Call (RFC) im SAP NetWeaver Application Server ABAP
  • CVE-2024-56337 (CVSS 8.1): Schwachstelle in Apache Tomcat innerhalb der SAP Commerce Cloud
  • CVE-2025-30014 (CVSS 7.7): Directory-Traversal-Sicherheitslücke in SAP Capital Yield Tax Management
  • CVE-2025-27428 (CVSS 7.7): Directory-Traversal-Sicherheitslücke in SAP NetWeaver und ABAP Platform (Service Data Collection)
  • CVE-2025-26654 (CVSS 6.8): Bei falscher Konfiguration des Clients in der SAP Commerce Cloud (Public Cloud), könnte dieser bei der ersten Anfrage vor der Umleitung vertrauliche Daten senden.
  • CVE-2025-30013 (CVSS 6.7): Code-Injection-Schwachstelle im SAP ERP BW Business Content
  • CVE-2025-31332 (CVSS 6.6): Sicherheitslücke durch unsichere Dateiberechtigungen in der SAP BusinessObjects Business Intelligence Platform
  • CVE-2025-26657 (CVSS 5.3): Ein nicht authentifizierter Angreifer könnte durch eine einfache Parameterabfrage remote Benutzernamen anrufen. Dadurch könnten vertrauliche Informationen offengelegt werden, ohne dass die Vertraulichkeit und Verfügbarkeit der Anwendung beeinträchtigt würden.
  • CVE-2025-26653 (CVSS 4.7): Cross-Site-Scripting-Sicherheitslücke im SAP NetWeaver Application Server ABAP (Anwendungen basierend auf SAP GUI für HTML)
  • CVE-2025-30017 (CVSS 4.4): Fehlende Berechtigungsprüfung im SAP Solution Manager
  • CVE-2025-31333 (CVSS 4.3): Manipulation von Odata-Metadaten in der SAP S4CORE-Entität
  • CVE-2025-27437 (CVSS 4.3): Fehlende Berechtigungsprüfung im SAP NetWeaver Application Server ABAP (Virus Scan Interface)
  • CVE-2025-31331 (CVSS 4.3): Sicherheitslücke bei der Autorisierungsumgehung in SAP NetWeaver
  • CVE-2025-27435 (CVSS 4.2): Unter bestimmten Bedingungen könnte ein nicht authentifizierter Angreifer auf Kundengutscheincodes zugreifen und verwenden, die in den URL-Parametern der Coupon-Kampagnen-URL in SAP Commerce offengelegt sind.
  • CVE-2025-30015 (CVSS 4.1): Speicherbeschädigungsschwachstelle in SAP NetWeaver und ABAP-Plattform (Anwendungsserver ABAP)

(ID:50380575)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte