SAP Patchday November 2025 Fest kodierte Anmeldedaten im SAP SQL Anywhere Monitor

Anbieter zum Thema

Onapsis GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

sysob IT-Distribution GmbH & Co. KG

SEPPmail - Deutschland GmbH

Beim SAP-Patchday im November schließt der Hersteller 20 Sicher­heits­lücken, darunter zwei mit dem höchsten CVSS-Score von 10.0. Besonders kritisch sind eine Schwachstelle mit fest kodierten Anmeldedaten im SQL Anywhere Monitor und ein Deserialisierungsfehler in Netweaver.

Das Jahr neigt sich dem Ende zu und damit veröffentlicht SAP die vorletzte Patchday-Meldung des Jahres. Beim Release der gefundenen Sicherheitslücken beim November-Patchday von SAP fällt auf, dass von insgesamt 20 Sicherheitshinweisen, fünf Schwachstellen Netweaver be­tref­fen. Eines der Kernprodukte des Software-Herstellers, welches in den vergangenen Monaten immer wieder für Aufmerksamkeit bei Admins und Patch-Verantwortlichen gesorgt hat.

SAP Patchday Oktober 2025

CVSS-10.0-Schwachstelle in SAP Netweaver wird erneut gepatcht

Kritische Sicherheitslücken in SQL Anywhere Monitor und Solution Manager

Die Sicherheitslücke CVE-2025-42890, die SAP bei seinem Patchday im November schließt, hat den höchstmöglichen CVSS-Score von 10.0. CVE-2025-42890 sorgt dafür, dass die An­mel­de­informationen für SAPs SQL Anywhere Monitor (Non-GUI) in den Code einbettet, was dazu führt, dass Unberechtigte auf Ressourcen und Funktionen zugreifen können. Zudem können Angreifer beliebigen Code ausführen. Das Research-Team von Onapsis weist darauf hin, dass der Patch für CVE-2025-42890 SQL Anywhere Monitor vollständig deaktiviert. Auch SAP empfiehlt, die Lösung vorübergehend nicht mehr zu verwenden, sollte der Patch nicht zeitnah aufgespielt werden können. Zudem sollten alle Instanzen der Datenbank gelöscht werden. Wann die Lösung wieder „freigegeben“ wird, ist derzeit nicht bekannt. Für Hersteller ist es in der Regel sehr aufwendig, fest kodierte Credentials zu entfernen, für Kunden es ist meist nur das Aufspielen eines Fixes. Doch auch wenn der Sicherheitshinweis von SAP erstmal keine weiteren Details enthält, sollten SAP-Kunden, die von CVE-2025-42890 betroffen sind, alle betroffenen Schlüssel ersetzen.

Eine ebenfalls kritische Sicherheitslücke findet sich im Solution Manager von SAP. Aufgrund fehlender Eingabebereinigungen ermöglicht es die Administrationsplattform von SAP einem authentifizierten Angreifer Schadcode beim Aufruf eines fernsteuerbaren Funktionsbausteins einzuschleusen. Dies kann dem Akteur die vollständige Kontrolle über das System verschaffen.

Teil 1: Häufigste Sicherheitslücken und typische Angriffe

Cybersicherheit für SAP: Grundlagen & Best Practices

Sorgenkind Netweaver

Mit einer weiteren maximal kritischen Sicherheitslücke – CVE-2025-42944 mit einem CVSS-Score von 10.0 – bleibt die Integrationsplattform Netweaver das Sorgenkind. Aufgrund eines Deserialisierungsfehlers kann ein authentifizierter Angreifer das System über das RMI-P4-Modul angreifen, indem er Schadcode an einen offenen Port sendet. Bei dem Patch für CVE­2025-42944 handelt es sich um ein Update aus dem Oktober-Patchday von SAP. Doch bei dieser Sicherheitslücke in Netweaver bleibt es nicht. Weitere Schwachstellen, über die SAP im Novem­ber informiert sind CVE-2025-42884 (CVSS 6.5), CVE-2025-42919 (CVSS 5.3), CVE-2025-42882 (CVSS 4.3) und CVE-2025-42883 (CVSS 2.7).

Neben SQL Anywhere Monitor, dem Solution Manager und Netweaver erhalten auch Common­CryptoLib, die Kryptografiebibliothek von SAP, der HANA JDBC Client sowie HANA 2.0, Business Connector, S/4HANA landscape, SAP GUI for Windows, Starter Solution (PL SAFT), S4CORE (Manage Journal Entries) und Business One (SLD) Updates.

SAP Patchday September 2025

Einfach ausnutzbare Schwachstelle in SAP Netweaver – CVSS 10.0

Termine

Das war der Microsoft Patchday 2025

Termine 2025

Wann ist Oracle Patchday 2025?

(ID:50623604)