Am 13. Mai 2025 veröffentlichte SAP den monatlichen Security Patch Day mit insgesamt 16 neuen Security Notes und 2 Updates zu früheren Hinweisen. Kunden sollten die Patches umgehend über das SAP Support Portal einspielen, um ihre Landschaft vor möglichen Angriffen zu schützen.
Highlights der neuen Notes:
- 2 Critical
- CVE-2025-31324 (Note 3594142): Fehlende Autorisierungsprüfung in SAP NetWeaver Visual Composer (CVSS 10.0)
- CVE-2025-42999 (Note 3604119): Unsichere Deserialisierung in Visual Composer (CVSS 9.1)
- 4 High
- CVE-2025-30018 (Note 3578900): Mehrere Lücken in SAP SRM Live Auction Cockpit (CVSS 8.6)
- CVE-2025-43010 (Note 3600859): Code Injection in SCM Master Data Layer von S/4HANA (CVSS 8.3)
- CVE-2025-43000 (Note 3586013): Information Disclosure in Business Objects BI Platform (CVSS 7.9)
- CVE-2025-43011 (Note 3591978): Fehlende Autorisierungsprüfung in Landscape Transformation (CVSS 7.7)
| Note # | CVE | Produkt / Modul | Priorität | CVSS |
|---|---|---|---|---|
| 3594142 | CVE-2025-31324 | SAP NetWeaver Visual Composer | Kritisch | 10.0 |
| 3604119 | CVE-2025-42999 | SAP NetWeaver Visual Composer | Kritisch | 9.1 |
| 3578900 | CVE-2025-30018 | SAP SRM Live Auction Cockpit | Hoch | 8.6 |
| 3600859 | CVE-2025-43010 | S/4HANA SCM Master Data Layer | Hoch | 8.3 |
| 3586013 | CVE-2025-43000 | Business Objects BI Platform | Hoch | 7.9 |
| 3591978 | CVE-2025-43011 | Landscape Transformation (PCL Basis) | Hoch | 7.7 |
Darüber hinaus wurden folgende Notes aktualisiert: Note 3594142 (Visual Composer Authorization, ursprünglich April 2025) und Note 3483344 (SAP PDCE Authorization, Juli 2024).
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: