SAP Patchday im Mai 2025 schließt kritische Lücken
Am 13. Mai 2025 veröffentlichte SAP den monatlichen Security Patch Day mit insgesamt 16 neuen Security Notes und 2 Updates zu früheren Hinweisen. Kunden sollten die Patches umgehend über das SAP Support Portal einspielen, um ihre Landschaft vor möglichen Angriffen zu schützen.
Highlights der neuen Notes:
- 2 Critical
- CVE-2025-31324 (Note 3594142): Fehlende Autorisierungsprüfung in SAP NetWeaver Visual Composer (CVSS 10.0)
- CVE-2025-42999 (Note 3604119): Unsichere Deserialisierung in Visual Composer (CVSS 9.1)
- 4 High
- CVE-2025-30018 (Note 3578900): Mehrere Lücken in SAP SRM Live Auction Cockpit (CVSS 8.6)
- CVE-2025-43010 (Note 3600859): Code Injection in SCM Master Data Layer von S/4HANA (CVSS 8.3)
- CVE-2025-43000 (Note 3586013): Information Disclosure in Business Objects BI Platform (CVSS 7.9)
- CVE-2025-43011 (Note 3591978): Fehlende Autorisierungsprüfung in Landscape Transformation (CVSS 7.7)
| Note # | CVE | Produkt / Modul | Priorität | CVSS |
|---|---|---|---|---|
| 3594142 | CVE-2025-31324 | SAP NetWeaver Visual Composer | Kritisch | 10.0 |
| 3604119 | CVE-2025-42999 | SAP NetWeaver Visual Composer | Kritisch | 9.1 |
| 3578900 | CVE-2025-30018 | SAP SRM Live Auction Cockpit | Hoch | 8.6 |
| 3600859 | CVE-2025-43010 | S/4HANA SCM Master Data Layer | Hoch | 8.3 |
| 3586013 | CVE-2025-43000 | Business Objects BI Platform | Hoch | 7.9 |
| 3591978 | CVE-2025-43011 | Landscape Transformation (PCL Basis) | Hoch | 7.7 |
Darüber hinaus wurden folgende Notes aktualisiert: Note 3594142 (Visual Composer Authorization, ursprünglich April 2025) und Note 3483344 (SAP PDCE Authorization, Juli 2024).