SAP patcht zahlreiche Schwachstellen gegen XSS und RCE

SAP hat seine neuesten Sicherheitsupdates vorgestellt, die 21 neue Schwachstellen beheben und drei bereits veröffentlichte Security Notes aktualisieren. Unter den prioritären Fixes befindet sich eine schwerwiegende Cross-Site Scripting (XSS)-Schwachstelle in der Swagger UI von SAP Commerce (CVE-2025-27434, CVSS 8.8) sowie ein fehlender Berechtigungscheck im ABAP Class Builder von SAP NetWeaver (CVE-2025-26661, CVSS 8.8).

Mehrere Schwachstellen im Zusammenhang mit Apache Tomcat in der SAP Commerce Cloud wurden ebenfalls identifiziert, wodurch potenziell remote Code Execution (RCE) ermöglicht wird. Kunden, die die Versionen HY-COM 2205 und COM-CLOUD 2211 nutzen, werden dringend aufgefordert, die Updates umgehend zu implementieren.

Darüber hinaus wurde eine zuvor veröffentlichte Security Note aktualisiert, um eine Authentifizierungsumgehung im SAP Approuter (CVE-2025-24876) zu beheben. Ergänzend dazu wurden mehrere Schwachstellen mittlerer und niedriger Schweregrade in verschiedenen SAP-Produkten korrigiert.

Related Posts

Apache Tomcat – CVE-2025-24813 ermöglicht potenzielle RCE

Am 10. März 2025 wurde eine Sicherheitslücke (CVE-2025-24813) in Apache Tomcat bekannt, die durch die ursprüngliche Implementierung von Partial PUT entsteht. Dabei wird ein temporärer Dateiname auf Basis von Benutzerangaben erstellt, wobei Pfadtrenner durch einen Punkt ersetzt werden. Unter bestimmten Bedingungen – etwa wenn das Schreiben für das Default Servlet aktiviert ist (standardmäßig deaktiviert), Partial PUT unterstützt wird (standardmäßig aktiviert) und sensible Upload-Pfade in Unterverzeichnissen öffentlicher Bereiche liegen – kann ein Angreifer sicherheitsrelevante Dateien einsehen, manipulieren oder sogar Remote Code Execution (RCE) auslösen.

Read More

Apache Traffic Server – Malformed Requests und ACL-Probleme

Am 5. März 2025 wurde im Apache Traffic Server-Entwicklerforum berichtet, dass ATS (Apache Traffic Server) anfällig für fehlerhaft formatierte Anfragen sowie für Probleme mit Access Control Lists (ACL) ist. Der Apache Traffic Server ist ein weitverbreitetes Caching System auf Open Source Basis. Konkret wurden vier CVEs identifiziert:

Read More

GitLabs Patch Release 17.9.1, 17.8.4, 17.7.6 fixen XSS Schwachstellen

GitLab hat am 26.02.25 neue Patch-Releases für die Community Edition (CE) und Enterprise Edition (EE) veröffentlicht. Mit den Versionen 17.9.1, 17.8.4 und 17.7.6 behebt GitLab mehrere kritische Sicherheitslücken und diverse Bugs, die in zahlreichen Installationen entdeckt wurden.

Read More