SAP Patch Day November 2025

Überblick: 26 Sicherheitspatches im November

Im November 2025 veröffentlichte SAP insgesamt 26 neue und aktualisierte Sicherheitspatches. Die Updates umfassen vier HotNews-Hinweise und zwei High Priority Notes. Die Onapsis Research Labs unterstützten SAP bei der Behebung von acht Schwachstellen, die durch sieben SAP Security Notes abgedeckt werden.

Kritische HotNews-Sicherheitslücken

SQL Anywhere Monitor: Maximales Risiko durch fest codierte Anmeldedaten

Die SAP Security Note #3666261 behebt eine Sicherheitslücke in SQL Anywhere Monitor mit einem CVSS-Score von 10.0. Die Schwachstelle entsteht durch unsicheres Key- und Secret-Management. Fest codierte Anmeldedaten ermöglichen Angreifern die Ausführung beliebigen Codes.

Ein erfolgreicher Angriff stellt ein hohes Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit des Systems dar. Mit dem Patch wird SQL Anywhere Monitor vollständig deaktiviert. SAP empfiehlt als vorübergehende Maßnahme, SQL Anywhere Monitor nicht mehr zu verwenden und alle Instanzen der SQL Anywhere Monitor-Datenbank zu löschen.

SAP Solution Manager: Code Injection mit CVSS 9.9

Die SAP Security Note #3668705 adressiert eine Code-Injection-Sicherheitslücke in SAP Solution Manager mit einem CVSS-Score von 9.9. Aufgrund fehlender Eingabebereinigung in einem remote-fähigen Funktionsbaustein können authentifizierte Angreifer bösartigen Code in das System einschleusen. Der Patch behebt die Schwachstelle durch Hinzufügen einer Eingabeprüfung, die die meisten nicht-alphanumerischen Zeichen ausschließt.

Aktualisierungen bestehender HotNews-Patches

Der Sicherheitshinweis #3660659 (CVSS 10.0) wurde ursprünglich in Zusammenarbeit mit Onapsis am SAP Patch Day im Oktober veröffentlicht. Der Patch blockiert anfällige JDK- und Drittanbieter-Klassen in SAP NetWeaver AS Java, um die Ausnutzung von Sicherheitslücken durch unsichere Deserialisierung zu verhindern. SAP hat einen Hinweis zu den Voraussetzungen hinzugefügt und den Abschnitt mit den Workarounds neu strukturiert.

Die SAP Security Note #3647332 (CVSS 9.0) wurde ebenfalls in Zusammenarbeit mit Onapsis im Oktober veröffentlicht. Die gepatchte Schwachstelle in SAP Supplier Relationship Management ermöglichte es einem authentifizierten Angreifer, beliebige Dateien hochzuladen, die Malware enthalten konnten. SAP hat den Hinweis mit erweiterten Informationen zur Validität aktualisiert.

High Priority Sicherheitspatches

SAP CommonCryptoLib: Memory Corruption

Die SAP Security Note #3633049 mit einem CVSS-Score von 7.5 behebt eine Memory-Corruption-Sicherheitslücke in SAP CommonCryptoLib. Fehlende Grenzwertprüfungen ermöglichen es einem Angreifer, schädliche Daten zu senden, die zu einer Beschädigung des Speichers und anschließend zum Absturz der Anwendung führen können.

Der Fehler wurde in CommonCryptoLib 8.5.60 behoben. Der Hinweis betont, dass einige Komponenten CommonCryptoLib enthalten, und verweist für die entsprechenden Patch-Levels auf die SAP Note #3628110. Ein zusätzlicher KBA-Hinweis ist in Vorbereitung (SAP Note #3677814).

SAP Commerce Cloud: Denial-of-Service-Update

Die SAP Security Note #3664466 ist ein Update zu einer Denial-of-Service-Sicherheitslücke in SAP Commerce Cloud. Sie ist mit einem CVSS-Score von 7.5 bewertet und enthält Änderungen in den Abschnitten „Symptom“, „Reason and Prerequisites“ und „Solution“.

Beitrag der Onapsis Research Labs

Die Onapsis Research Labs haben sieben SAP Security Notes unterstützt, darunter vier Patches für SAP Business Connector. Der SAP Business Connector ist eine Komponente, die unabhängig vom SAP-System installiert und verwaltet werden kann.

SAP BC ermöglicht die Ausweitung von Geschäftsprozessen über das Internet und die Integration von Nicht-SAP-Produkten unter Verwendung offener Standards. Die Lösung wurde erstmals 1999 veröffentlicht und durch neuere Technologien wie SAP Process Orchestration und SAP Cloud Platform Integration abgelöst. Die Verschiebung des Wartungsendes von Ende 2020 auf Ende 2030 zeigt, dass die Lösung nach wie vor weit verbreitet ist.

OS Command Injection in SAP Business Connector

Die SAP Security Note #3665900 (CVSS 6.8) behebt eine Schwachstelle im Bereich OS Command Injection in SAP BC. Die Schwachstelle ermöglicht es einem authentifizierten Angreifer mit Administratorrechten und entsprechendem Netzwerkzugriff, Inhalte auf den Server hochzuladen. Wenn diese Inhalte von der Anwendung verarbeitet werden, kann es zur Ausführung beliebiger OS-Befehle kommen, was zu einer vollständigen Kompromittierung des Systems führt.

Path Traversal in SAP Business Connector

Der Hinweis #3666038 (CVSS 6.8) behebt eine Path-Traversal-Sicherheitslücke. Das Onapsis-Team stellte fest, dass ein Angreifer, der als Administrator mit angrenzendem Zugriff authentifiziert war, beliebige Dateien auf dem Hostsystem lesen, schreiben, überschreiben und löschen konnte. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, beliebige Betriebssystembefehle auf dem Server auszuführen.

Cross-Site Scripting in SAP Business Connector

Die SAP Security Note #3665907 (CVSS 6.1) behebt eine Reflected Cross-Site Scripting (XSS)-Sicherheitslücke in SAP BC. Ohne Patch könnte ein nicht authentifizierter Angreifer einen bösartigen Link generieren und öffentlich zugänglich machen. Wenn ein authentifizierter Nutzer auf diesen Link zugreift, wird die injizierte Eingabe während der Generierung der Webseite verarbeitet und der bösartige Inhalt im Browserkontext ausgeführt.

Open Redirect in SAP Business Connector

Die SAP Security Note #3662000 (CVSS 6.1) patcht eine Open-Redirect-Sicherheitslücke in SAP BC. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, eine bösartige URL zu erstellen, die das Opfer bei Zugriff auf eine vom Angreifer kontrollierte Website umleitet, die in einem eingebetteten Frame angezeigt wird. Eine erfolgreiche Ausnutzung könnte es dem Angreifer ermöglichen, sensible Informationen zu stehlen und unbefugte Aktionen durchzuführen.

Weitere Sicherheitslücken in SAP-Komponenten

JNDI Injection in SAP NetWeaver Enterprise Portal

Die Onapsis Research Labs entdeckten eine JNDI-Injection-Sicherheitslücke in SAP NetWeaver Enterprise Portal, die mit der Security Note #3660969 (CVSS 6.5) behoben wurde. Nicht authentifizierte Angreifer können JNDI-Umgebungseigenschaften einschleusen oder eine URL übergeben, die bei JNDI-Lookup-Operationen verwendet wird. Dies könnte zur Offenlegung oder Änderung von Informationen über den Server führen.

Open Redirect in SAP S/4HANA E-Recruiting

Mehrere Open-Redirect-Schwachstellen in SAP S/4HANA Landscape SAP E-Recruiting BSP wurden durch das Onapsis-Team entdeckt. Diese ermöglichen es einem nicht authentifizierten Angreifer, bösartige Links zu erstellen. Das Problem wurde mit der SAP Security Note #3642398 (CVSS 6.1) behoben.

Fehlende Authentifizierung in SAP HANA 2.0

Eine Sicherheitslücke aufgrund fehlender Authentifizierung in SAP HANA 2.0 (hdbrss) wurde mit der SAP Security Note #3639264 (CVSS 5.8) gepatcht. Die Anwendung ermöglicht es einem nicht authentifizierten Angreifer, eine remote-fähige Funktion aufzurufen, mit der er Informationen einsehen kann, die geringfügige Auswirkungen auf die Vertraulichkeit haben.

Empfohlene Maßnahmen

SAP-Kunden sollten die veröffentlichten Sicherheitspatches zeitnah implementieren. Besondere Priorität haben die HotNews-Updates für SQL Anywhere Monitor und SAP Solution Manager aufgrund ihrer kritischen CVSS-Scores. Für SQL Anywhere Monitor empfiehlt SAP die sofortige Deaktivierung und Löschung aller Instanzen als vorübergehende Maßnahme.

Organisationen sollten ihre SAP-Landschaft auf betroffene Komponenten überprüfen und einen Patch-Plan erstellen. Die Zusammenarbeit zwischen SAP und Security-Forschern wie den Onapsis Research Labs trägt wesentlich zur frühzeitigen Identifikation und Behebung von Sicherheitslücken bei.

Fazit

Der SAP Patch Day im November 2025 umfasst wichtige Sicherheitsupdates für kritische SAP-Komponenten. Die Veröffentlichung von 26 Patches, darunter mehrere mit maximalen CVSS-Scores, unterstreicht die Notwendigkeit eines proaktiven Sicherheitsmanagements für SAP-Systeme. Die kontinuierliche Zusammenarbeit zwischen SAP und der Security-Community gewährleistet die frühzeitige Erkennung und Behebung von Schwachstellen.

Overview: 26 security patches in November

In November 2025, SAP released a total of 26 new and updated security patches. The updates include four HotNews notices and two High Priority Notes. Onapsis Research Labs supported SAP in fixing eight vulnerabilities covered by seven SAP Security Notes.

Critical HotNews security vulnerabilities

SQL Anywhere Monitor: Maximum risk due to hard-coded login credentials

SAP Security Note #3666261 addresses a security vulnerability in SQL Anywhere Monitor with a CVSS score of 10.0. The vulnerability arises from insecure key and secret management. Hard-coded login credentials allow attackers to execute arbitrary code.

A successful attack poses a high risk to the confidentiality, integrity, and availability of the system. The patch completely disables SQL Anywhere Monitor. As a temporary measure, SAP recommends that you stop using SQL Anywhere Monitor and delete all instances of the SQL Anywhere Monitor database.

SAP Solution Manager: Code injection with CVSS 9.9

SAP Security Note #3668705 addresses a code injection vulnerability in SAP Solution Manager with a CVSS score of 9.9. Due to a lack of input sanitization in a remote-enabled function module, authenticated attackers can inject malicious code into the system. The patch fixes the vulnerability by adding an input check that excludes most non-alphanumeric characters.

Updates to existing HotNews patches

Security Note #3660659 (CVSS 10.0) was originally published in collaboration with Onapsis on SAP Patch Day in October. The patch blocks vulnerable JDK and third-party classes in SAP NetWeaver AS Java to prevent exploitation of security vulnerabilities through unsafe deserialization. SAP has added a note on prerequisites and restructured the section on workarounds.

SAP Security Note #3647332 (CVSS 9.0) was also released in collaboration with Onapsis in October. The patched vulnerability in SAP Supplier Relationship Management allowed an authenticated attacker to upload arbitrary files that could contain malware. SAP has updated the note with additional information on validity.

High Priority Security Patches

SAP CommonCryptoLib: Memory Corruption

SAP Security Note #3633049, with a CVSS score of 7.5, addresses a memory corruption vulnerability in SAP CommonCryptoLib. Missing boundary checks allow an attacker to send malicious data that could cause memory corruption and subsequently crash the application.

The bug has been fixed in CommonCryptoLib 8.5.60. The note emphasizes that some components contain CommonCryptoLib and refers to SAP Note #3628110 for the corresponding patch levels. An additional KBA note is in preparation (SAP Note #3677814).

SAP Commerce Cloud: Denial-of-Service Update

SAP Security Note #3664466 is an update to a denial-of-service vulnerability in SAP Commerce Cloud. It has a CVSS score of 7.5 and includes changes in the “Symptom,” “Reason and Prerequisites,” and “Solution” sections.

Contribution from Onapsis Research Labs

Onapsis Research Labs supported seven SAP Security Notes, including four patches for SAP Business Connector. SAP Business Connector is a component that can be installed and managed independently of the SAP system.

SAP BC enables the extension of business processes via the Internet and the integration of non-SAP products using open standards. The solution was first released in 1999 and has been replaced by newer technologies such as SAP Process Orchestration and SAP Cloud Platform Integration. The postponement of the end of maintenance from the end of 2020 to the end of 2030 shows that the solution is still widely used.

OS Command Injection in SAP Business Connector

SAP Security Note #3665900 (CVSS 6.8) addresses a vulnerability in the area of OS command injection in SAP BC. The vulnerability allows an authenticated attacker with administrator rights and appropriate network access to upload content to the server. When this content is processed by the application, arbitrary OS commands may be executed, leading to complete compromise of the system.

Path Traversal in SAP Business Connector

Note #3666038 (CVSS 6.8) addresses a path traversal vulnerability. The Onapsis team found that an attacker authenticated as an administrator with adjacent access could read, write, overwrite, and delete arbitrary files on the host system. Successful exploitation could allow the attacker to execute arbitrary operating system commands on the server.

Cross-Site Scripting in SAP Business Connector

SAP Security Note #3665907 (CVSS 6.1) addresses a reflected cross-site scripting (XSS) vulnerability in SAP BC. Without a patch, an unauthenticated attacker could generate a malicious link and make it publicly available. When an authenticated user accesses this link, the injected input is processed during the generation of the web page and the malicious content is executed in the browser context.

Open Redirect in SAP Business Connector

SAP Security Note #3662000 (CVSS 6.1) patches an open redirect vulnerability in SAP BC. The vulnerability allows an unauthenticated attacker to create a malicious URL that redirects the victim to an attacker-controlled website displayed in an embedded frame when accessed. Successful exploitation could allow the attacker to steal sensitive information and perform unauthorized actions.

Other vulnerabilities in SAP components

JNDI injection in SAP NetWeaver Enterprise Portal

Onapsis Research Labs discovered a JNDI injection vulnerability in SAP NetWeaver Enterprise Portal, which was fixed with Security Note #3660969 (CVSS 6.5). Unauthenticated attackers can inject JNDI environment properties or pass a URL that is used in JNDI lookup operations. This could lead to the disclosure or modification of information about the server.

Open redirect in SAP S/4HANA E-Recruiting

Several open redirect vulnerabilities in SAP S/4HANA Landscape SAP E-Recruiting BSP were discovered by the Onapsis team. These allow an unauthenticated attacker to create malicious links. The issue was fixed with SAP Security Note #3642398 (CVSS 6.1).

Missing authentication in SAP HANA 2.0

A security vulnerability due to missing authentication in SAP HANA 2.0 (hdbrss) was patched with SAP Security Note #3639264 (CVSS 5.8). The application allows an unauthenticated attacker to call a remote-enabled function that allows them to view information that has a minor impact on confidentiality.

Recommended actions

SAP customers should implement the published security patches promptly. The HotNews updates for SQL Anywhere Monitor and SAP Solution Manager are a particular priority due to their critical CVSS scores. For SQL Anywhere Monitor, SAP recommends immediately deactivating and deleting all instances as a temporary measure.

Organizations should check their SAP landscape for affected components and create a patch plan. Collaboration between SAP and security researchers such as Onapsis Research Labs contributes significantly to the early identification and remediation of security vulnerabilities.

Conclusion

SAP Patch Day in November 2025 includes important security updates for critical SAP components. The release of 26 patches, including several with maximum CVSS scores, underscores the need for proactive security management for SAP systems. Continuous collaboration between SAP and the security community ensures early detection and remediation of vulnerabilities.