SAP Patchday im Mai 2025 schließt kritische Lücken

Am 13. Mai 2025 veröffentlichte SAP den monatlichen Security Patch Day mit insgesamt 16 neuen Security Notes und 2 Updates zu früheren Hinweisen. Kunden sollten die Patches umgehend über das SAP Support Portal einspielen, um ihre Landschaft vor möglichen Angriffen zu schützen.

Highlights der neuen Notes:

  • 2 Critical
    • CVE-2025-31324 (Note 3594142): Fehlende Autorisierungsprüfung in SAP NetWeaver Visual Composer (CVSS 10.0)
    • CVE-2025-42999 (Note 3604119): Unsichere Deserialisierung in Visual Composer (CVSS 9.1)
  • 4 High
    • CVE-2025-30018 (Note 3578900): Mehrere Lücken in SAP SRM Live Auction Cockpit (CVSS 8.6)
    • CVE-2025-43010 (Note 3600859): Code Injection in SCM Master Data Layer von S/4HANA (CVSS 8.3)
    • CVE-2025-43000 (Note 3586013): Information Disclosure in Business Objects BI Platform (CVSS 7.9)
    • CVE-2025-43011 (Note 3591978): Fehlende Autorisierungsprüfung in Landscape Transformation (CVSS 7.7)
Note #CVEProdukt / ModulPrioritätCVSS
3594142CVE-2025-31324SAP NetWeaver Visual ComposerKritisch10.0
3604119CVE-2025-42999SAP NetWeaver Visual ComposerKritisch9.1
3578900CVE-2025-30018SAP SRM Live Auction CockpitHoch8.6
3600859CVE-2025-43010S/4HANA SCM Master Data LayerHoch8.3
3586013CVE-2025-43000Business Objects BI PlatformHoch7.9
3591978CVE-2025-43011Landscape Transformation (PCL Basis)Hoch7.7

Darüber hinaus wurden folgende Notes aktualisiert: Note 3594142 (Visual Composer Authorization, ursprünglich April 2025) und Note 3483344 (SAP PDCE Authorization, Juli 2024).

Related Posts

Hacker missbrauchen IPv6-Netzwerkfunktion zum Hijacking von Software-Updates

Die chinesische Hackergruppe „TheWizards“ nutzt laut einem Bericht von ESET gezielt eine Schwachstelle im IPv6-Protokoll aus, um Malware über manipulierte Software-Updates zu verbreiten, wie BleepingComputer berichtet. Durch die missbräuchliche Nutzung der IPv6 Stateless Address Autoconfiguration (SLAAC) können Angreifer sogenannte Adversary-in-the-Middle (AitM)-Attacken durchführen.

Read More

Kritisches Sicherheitsupdate für Kibana veröffentlicht (ESA-2025-07)

Elastic hat ein Sicherheitsupdate für Kibana veröffentlicht, das eine kritische Schwachstelle (CVE-2025-25014) behebt. Die Schwachstelle ermöglicht eine willkürliche Codeausführung durch sogenannte “Prototype Pollution”-Angriffe über speziell präparierte HTTP-Anfragen an die Machine Learning- und Reporting-Schnittstellen.

Read More

Ivanti patcht kritische Lücke CVE-2025-22462 in Ivanti Neurons for ITSM

Ivanti hat am 13. Mai 2025 ein kritisches Sicherheitsupdate für „Ivanti Neurons for ITSM (On-Premises Only)“ veröffentlicht. Die Lücke CVE-2025-22462 (CWE-288) erlaubt einem nicht authentifizierten Angreifer, bei fehlerhafter Konfiguration Administratorrechte zu erlangen (CVSS 9.8 – kritisch; Environmental Score 6.9 – mittel). Betroffen sind die Versionen 2023.4, 2024.2 und 2024.3; je ein „May 2025 Security Patch“ steht über das Ivanti-Downloadportal bereit. Ivanti empfiehlt, den Patch umgehend einzuspielen und den Zugriff auf die IIS-Instanz netzwerkseitig (IP-Whitelist, DMZ) einzuschränken, um das Risiko weiter zu minimieren. Bislang sind keine Ausnutzungen in Kundenumgebungen bekannt.

Read More