| SAP hat im Dezember 17 Sicherheitspatches veröffentlicht, darunter vier mit HotNews-Status. Besonders kritisch: Eine Code-Injection-Schwachstelle im Solution Manager mit CVSS-Score 9.9. | SAP released 17 security patches in December, including four with HotNews status. Very critical is a code injection vulnerability in Solution Manager with a CVSS score of 9.9. |
| Der Dezember-Patch-Day bringt für SAP-Administratoren wieder erheblichen Handlungsbedarf: Insgesamt 17 neue und aktualisierte Sicherheitshinweise adressieren teils schwerwiegende Schwachstellen in verschiedenen SAP-Produkten. Vier davon tragen den HotNews-Status, fünf weitere werden als High Priority eingestuft. Fünf der gemeldeten Schwachstellen wurden in Zusammenarbeit mit den Onapsis Research Labs identifiziert.
Solution Manager besonders gefährdet Die gravierendste Schwachstelle betrifft den SAP Solution Manager. Der Sicherheitshinweis #3685270 mit einem CVSS-Score von 9.9 beschreibt eine Code-Injection-Lücke in einem remote-fähigen Funktionsbaustein. Authentifizierte Angreifer können darüber beliebigen Code einschleusen und dabei Vertraulichkeit, Integrität und Verfügbarkeit des Systems massiv beeinträchtigen. Der Patch fügt dem betroffenen Funktionsbaustein eine geeignete Eingabebereinigung hinzu. Angesichts der zentralen Rolle des Solution Managers in SAP-Landschaften wird eine zeitnahe Installation empfohlen. Ein weiterer Hinweis (#3668705) zu einer ähnlichen Schwachstelle im Solution Manager, ursprünglich im November veröffentlicht, wurde im Dezember mit zusätzlichen Korrekturanweisungen aktualisiert. Deserialisierung in jConnect SDK Eine zweite HotNews-Meldung (#3685286, CVSS-Score 9.1) behandelt eine Deserialisierungs-Schwachstelle im SAP jConnect SDK für Sybase Adaptive Server Enterprise. Über spezifische Eingabedaten lässt sich Remote-Code-Execution auslösen. Da für einen erfolgreichen Angriff weitreichende Berechtigungen erforderlich sind, fiel die Bewertung knapp unter den maximalen CVSS-Score von 10.0. Commerce Cloud und Apache Tomcat Kunden der SAP Commerce Cloud sind von zwei CVEs in Apache Tomcat betroffen (CVE-2025-55754 und CVE-2025-55752). Der Sicherheitshinweis #3683579 mit CVSS-Score 9.6 liefert Korrekturen samt gepatchter Tomcat-Version. Ohne Installation des Updates sind Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung gefährdet. High-Priority-Schwachstellen im Fokus Bei den High-Priority-Hinweisen stechen drei Schwachstellen hervor: Der Hinweis #3684682 (CVSS-Score 8.2) deaktiviert anfällige Schnittstellen in SAP Web Dispatcher und Internet Communication Manager, die ursprünglich nur für Testzwecke gedacht waren. Nicht authentifizierte Angreifer könnten diese Schnittstellen nutzen, um auf Diagnosen zuzugreifen, manipulierte Anfragen zu senden oder Dienste zu stören. Als schnelle Abhilfe können die generischen Profilparameter aus den Standard- und Instanzprofilen entfernt werden. Memory-Corruption-Probleme in Web Dispatcher, Internet Communication Manager und Content Server werden durch Hinweis #3677544 (CVSS-Score 7.5) behoben. Nicht authentifizierte Nutzer können Logikfehler ausnutzen, um Speicherbeschädigungen zu verursachen, die die Verfügbarkeit erheblich beeinträchtigen. Der Hinweis #3640185 (CVSS-Score 7.9) entfernt den NetWeaver Remote Service für XCelsius, dessen Support bereits Ende 2020 eingestellt wurde. Die Denial-of-Service-Lücke ermöglicht Angreifern mit Netzwerkzugriff und weitreichenden Berechtigungen die Ausführung beliebigen Codes aufgrund unzureichender Eingabevalidierung. Weitere Patches SAP Business Objects erhält mit Hinweis #3650226 (CVSS-Score 7.5) eine aktualisierte Version einer Drittanbieter-Komponente, die zuvor Denial-of-Service-Angriffe durch unkontrollierten Ressourcenverbrauch ermöglichte. In SAP S/4 HANA Private Cloud behebt der Hinweis #3672151 (CVSS-Score 7.1) eine fehlende Autorisierungsprüfung. Die Schwachstelle erlaubt authentifizierten Angreifern mit Berechtigung für einen einzelnen Company Code das Lesen sensibler Daten und die Veröffentlichung oder Änderung von Dokumenten über alle Company Codes hinweg. Beitrag der Security-Community Die Onapsis Research Labs trugen zur Identifizierung von fünf Schwachstellen bei, die von zwei HotNews- und zwei High-Priority-Hinweisen abgedeckt werden. Diese Zusammenarbeit zwischen externen Sicherheitsforschern und SAP zeigt die Bedeutung koordinierter Schwachstellenmeldungen für die Sicherheit unternehmenskritischer Systeme. |
December Patch Day once again brings considerable action requirements for SAP administrators: A total of 17 new and updated security advisories address vulnerabilities, some of them serious, in various SAP products. Four of these have HotNews status, and five others are classified as high priority. Five of the reported vulnerabilities were identified in collaboration with Onapsis Research Labs.
Solution Manager at risk The most serious vulnerability affects SAP Solution Manager. Security advisory #3685270, with a CVSS score of 9.9, describes a code injection vulnerability in a remote-enabled function module. Authenticated attackers can use this to inject arbitrary code, massively compromising the confidentiality, integrity, and availability of the system. The patch adds appropriate input sanitization to the affected function module. Given the central role of Solution Manager in SAP landscapes, prompt installation is recommended. Another advisory (#3668705) on a similar vulnerability in Solution Manager, originally published in November, was updated in December with additional corrective instructions. Deserialization in jConnect SDK A second HotNews report (#3685286, CVSS score 9.1) addresses a deserialization vulnerability in the SAP jConnect SDK for Sybase Adaptive Server Enterprise. Remote code execution can be triggered via specific input data. Since extensive permissions are required for a successful attack, the rating fell just below the maximum CVSS score of 10.0. Commerce Cloud and Apache Tomcat SAP Commerce Cloud customers are affected by two CVEs in Apache Tomcat (CVE-2025-55754 and CVE-2025-55752). Security advisory #3683579 with a CVSS score of 9.6 provides fixes including a patched Tomcat version. Without installing the update, the confidentiality, integrity, and availability of the application are at risk. Focus on high-priority vulnerabilities Three vulnerabilities stand out among the high-priority advisories: Advisory #3684682 (CVSS score 8.2) disables vulnerable interfaces in SAP Web Dispatcher and Internet Communication Manager that were originally intended for testing purposes only. Unauthenticated attackers could use these interfaces to access diagnostics, send manipulated requests, or disrupt services. As a quick workaround, the generic profile parameters can be removed from the standard and instance profiles. Memory corruption issues in Web Dispatcher, Internet Communication Manager, and Content Server are fixed by Note #3677544 (CVSS score 7.5). Unauthenticated users can exploit logic errors to cause memory corruption, which significantly impacts availability. Note #3640185 (CVSS score 7.9) removes the NetWeaver Remote Service for XCelsius, which was already discontinued at the end of 2020. The denial-of-service vulnerability allows attackers with network access and extensive privileges to execute arbitrary code due to insufficient input validation. Additional patches SAP Business Objects receives an updated version of a third-party component with note #3650226 (CVSS score 7.5), which previously allowed denial-of-service attacks through uncontrolled resource consumption. In SAP S/4 HANA Private Cloud, note #3672151 (CVSS score 7.1) fixes a missing authorization check. The vulnerability allows authenticated attackers with permissions for a single company code to read sensitive data and publish or modify documents across all company codes. Contribution of the security community Onapsis Research Labs contributed to the identification of five vulnerabilities covered by two HotNews and two High Priority advisories. This collaboration between external security researchers and SAP demonstrates the importance of coordinated vulnerability reporting for the security of mission-critical systems. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de