Security

SAP Patch Day: March 2025

VonJakob Jung

März 12, 2025 #Best Practices, #Cross-Site Scripting, #Denial of Service, #Onapsis, #SAP, #SAP Commerce
Im März 2025 veröffentlicht SAP 25 Sicherheitspatches, darunter 5 kritische Hinweise. Details zu den wichtigsten Schwachstellen liefert Onapsis. In March 2025 SAP releases 25 security patches, including 5 critical ones. Details on the most important vulnerabilities are provided by Onapsis.
Zu den Highlights der Analyse der SAP-Sicherheitshinweise im März gehören:

  • März-Zusammenfassung – Fünfundzwanzig neue und aktualisierte SAP-Sicherheitspatches wurden veröffentlicht, darunter fünf Hinweise mit hoher Priorität
  • Transaktion SA38 gepatcht – Die Schwachstelle ermöglicht die Ausführung von ABAP Class Builder-Funktionalität mit erheblichen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit
  • Best-Practice-Hinweis für SAP BTP – Besondere Aufmerksamkeit ist für Kunden erforderlich, die Java-Anwendungen entwickeln, die mit dem Spring Framework implementiert wurden

SAP hat an seinem Patch Day für den März 25 SAP-Sicherheitshinweise veröffentlicht (einschließlich der Hinweise, die seit dem letzten Patch Tuesday veröffentlicht oder aktualisiert wurden). Dazu gehören auch fünf Vermerke mit hoher Priorität.

Zwei der fünf High Priority-Hinweise sind Aktualisierungen früher veröffentlichter Patches:

  • SAP Security Note #3567974, mit einem CVSS-Score von 8.1, wurde ursprünglich am SAP Patch Day im Februar veröffentlicht und behebt eine Schwachstelle im SAP App Router. Der Abschnitt ‚Symptom‘ des Hinweises wurde aktualisiert und ein FAQ-Hinweis wurde hinzugefügt (#3571636).
  • SAP Security Note #3483344 wurde um Korrekturen für weitere betroffene Softwarekomponenten erweitert. Der Hinweis behebt eine kritische Schwachstelle (Missing Authorization Check) in SAP PDCE, die zu hohen Auswirkungen auf die Vertraulichkeit der Anwendung führen kann.

Die neuen High Priority-Hinweise im Detail

SAP Security Note #3563927, mit einem CVSS-Score von 8.8, betrifft eine Vielzahl von SAP-Kunden. Er adressiert eine kritische Schwachstelle in der Transaktion SA38 eines SAP NetWeaver Application Server ABAP, die den Zugriff auf Funktionen des Class Builders ermöglicht, die auf die ABAP Development Workbench beschränkt sein sollten. Bleibt die Schwachstelle ungepatcht, sind alle Anwendungen einem hohen Risiko in Bezug auf ihre Vertraulichkeit, Integrität und Verfügbarkeit ausgesetzt.

Der SAP Security Note #3569602 mit einem CVSS-Score von 8.8 behebt eine Cross-Site Scripting (XSS)-Schwachstelle in SAP Commerce, die durch die Open-Source-Bibliothek Swagger UI verursacht wird. Die Erkundungsfunktion von Swagger UI, die für den DOM-basierten XSS-Angriff anfällig war, ermöglicht es einem nicht authentifizierten Angreifer, bösartigen Code aus externen Quellen einzuschleusen. Ein erfolgreicher Angriff kann erhebliche negative Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung haben. SAP weist darauf hin, dass der Angriff glücklicherweise eine erhebliche Benutzerinteraktion erfordert, da das Opfer davon überzeugt werden muss, eine schädliche Payload in ein Eingabefeld einzugeben. Als Workaround können Kunden jede Verwendung von Swagger UI in SAP Commerce entfernen oder den Zugriff auf Swagger-Konsolen blockieren.

Der SAP Security Note #3566851, der mit einem CVSS-Score von 8.6 versehen ist, behebt eine Denial of Service (DOS)- und eine Unchecked Error Condition-Schwachstelle in SAP Commerce Cloud. Die Anwendung enthält eine Version von Apache Tomcat, die für CVE-2024-38286 und CVE-2024-52316 anfällig ist. Der Hinweis enthält Updates, die gepatchte Tomcat-Versionen beinhalten.

 

Über den CVSS 0.0 SAP Sicherheitshinweis

SAP Security #3576540, gekennzeichnet mit einem CVSS-Score von 0.0 (nein, das ist kein Tippfehler), liefert Best-Practice-Informationen über benutzerdefinierte Java-Anwendungen in SAP BTP, die mit dem Spring Framework implementiert wurden. Für solche Anwendungen verwenden Entwickler häufig den Spring Boot Activator, ein Tool, das verschiedene URL-Endpunkte zur Verfügung stellt, die Anwendungsdaten in Echtzeit liefern und so das Debugging und die Überwachung erleichtern. Ohne geeignete Sicherheitsmaßnahmen können diese Endpunkte jedoch schwerwiegende Schwachstellen aufweisen. Der Hinweis listet die betroffenen Endpunkte im Detail auf und beschreibt die Bedingungen für betroffene Anwendungen.

Zusammenfassung und Schlussfolgerungen

Mit fünfundzwanzig SAP-Sicherheitshinweisen, darunter fünf Hinweisen mit hoher Priorität, bedeutet der SAP März-Patch-Day wieder viel Arbeit. Es ist der erste Patch Day, der mit einem CVSS 0.0-Hinweis einhergeht. SAP BTP-Kunden werden jedoch zustimmen, dass dieser Hinweis ein perfektes Beispiel dafür ist, dass man bei der Priorisierung von SAP-Sicherheitshinweisen nicht nur auf CVSS-Scores achten sollte.

Wie immer aktualisieren die Onapsis Research Labs bereits die Onapsis-Plattform, um die neu veröffentlichten Schwachstellen in das Produkt zu integrieren, damit Kunden ihre Unternehmen schützen können.

 Highlights of March SAP Security Notes analysis include:

  • March SummaryTwenty-five new and updated SAP security patches released, including five High Priority Notes
  • Transaction SA38 patchedVulnerability allows execution of ABAP Class Builder functionality leading to high impact on Confidentiality, Integrity, and Availability
  • Best Practice Note for SAP BTPSpecial attention required for customers developing Java applications implemented with the Spring Framework

SAP has released twenty-five SAP Security Notes on its March Patch Day (including the notes that were released or updated since last Patch Tuesday) This includes five High Priority Notes.

Two of the five High Priority Notes are updates on earlier released patches.

SAP Security Note #3567974, tagged with a CVSS score of 8.1, was initially released on SAP’s February Patch Day and patches a vulnerability in SAP App Router. The ‘Symptom’ section of the note was updated and an FAQ note was added (#3571636).

SAP Security Note #3483344 was extended by corrections for additional affected software components. The note patches a critical Missing Authorization Check vulnerability in SAP PDCE that can lead to high impact on the application’s confidentiality.

The new High Priority Notes in Detail

SAP Security Note #3563927, tagged with a CVSS score of 8.8, affects a wide range of SAP customers. It addresses a critical vulnerability in transaction SA38 of an SAP NetWeaver Application Server ABAP that allows access to functionality of the Class Builder which should be restricted to the ABAP Development Workbench. Keeping unpatched, all applications are exposed at high risk with regard to their confidentiality, integrity, and availability.

SAP Security Note #3569602, tagged with a CVSS score of 8.8, patches a Cross-Site Scripting(XSS) vulnerability in SAP Commerce, caused by the open source library swagger-ui. The explore feature of Swagger UI which was vulnerable to the DOM-based XSS attack, allows an unauthenticated attacker to inject malicious code from remote sources. A successful exploit can have a high negative impact on the confidentiality, integrity, and availability of the application. Fortunately, SAP points out that the exploit requires significant user interaction as it needs to convince a victim to place a malicious payload into an input field. As a workaround, customers can remove any use of swagger-ui in SAP Commerce or block the access to swagger consoles.

SAP Security Note #3566851, tagged with a CVSS score of 8.6, patches a Denial of Service (DOS) and an Unchecked Error Condition vulnerability in SAP Commerce Cloud. The application includes a version of Apache Tomcat that is vulnerable to CVE-2024-38286 and CVE-2024-52316. The note provides updates that include patched Tomcat versions.

About the CVSS 0.0 SAP Security Note

SAP Security #3576540, tagged with a CVSS score of 0.0 (no, it’s not a typo), provides best practice information about custom Java applications in SAP BTP implemented with the Spring Framework. For such applications, developers often use the Spring Boot Activator, a tool exposing various URL endpoints that offer real-time application data, aiding in debugging and monitoring. However, without proper security measures, these endpoints can introduce serious vulnerabilities. The note lists the affected endpoints in detail and describes detailed conditions for affected applications.

Summary & Conclusions

With twenty-five SAP Security Notes, including five High Priority Notes, SAP March Patch Day is again a busy one. It is the first Patch Day that comes with a CVSS 0.0 note. However, SAP BTP customers will agree that this note is a perfect example of not just looking at CVSS scores when it comes to prioritizing SAP Security Notes.

As always, the Onapsis Research Labs is already updating The Onapsis Platform to incorporate the newly published vulnerabilities into the product so that customers can protect their businesses.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Ähnliche Beiträge

Security

Cloudflare NET Dollar

Sep. 26, 2025 Jakob Jung
Security

Onapsis Platform Update

Sep. 25, 2025 Jakob Jung
Security

Gebäudeautomation und der Cyber Resilience Act – Building Automation and the Cyber Resilience Act

Sep. 25, 2025 Jakob Jung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Versäumt

Security

Cloudflare NET Dollar

26. September 2025 Jakob Jung
Storage

Stackable Birthday

26. September 2025 Jakob Jung
Podcast

“Der Mittelstand hat eine Riesenchance“ – “ Huge Opportunity for SMEs“

26. September 2025 Carolina Heyder
Security

Onapsis Platform Update

25. September 2025 Jakob Jung
WordPress Cookie Hinweis von Real Cookie Banner