SAP patcht zahlreiche Schwachstellen gegen XSS und RCE
SAP hat seine neuesten Sicherheitsupdates vorgestellt, die 21 neue Schwachstellen beheben und drei bereits veröffentlichte Security Notes aktualisieren. Unter den prioritären Fixes befindet sich eine schwerwiegende Cross-Site Scripting (XSS)-Schwachstelle in der Swagger UI von SAP Commerce (CVE-2025-27434, CVSS 8.8) sowie ein fehlender Berechtigungscheck im ABAP Class Builder von SAP NetWeaver (CVE-2025-26661, CVSS 8.8).
Mehrere Schwachstellen im Zusammenhang mit Apache Tomcat in der SAP Commerce Cloud wurden ebenfalls identifiziert, wodurch potenziell remote Code Execution (RCE) ermöglicht wird. Kunden, die die Versionen HY-COM 2205 und COM-CLOUD 2211 nutzen, werden dringend aufgefordert, die Updates umgehend zu implementieren.
Darüber hinaus wurde eine zuvor veröffentlichte Security Note aktualisiert, um eine Authentifizierungsumgehung im SAP Approuter (CVE-2025-24876) zu beheben. Ergänzend dazu wurden mehrere Schwachstellen mittlerer und niedriger Schweregrade in verschiedenen SAP-Produkten korrigiert.