SAP Security Patch Day - Dezember 2025: Die kritischsten Schwachstellen und was jetzt zu tun ist
- GoNextConsulting
- vor 2 Minuten
- 3 Min. Lesezeit
Zum SAP Security Patch Day im Dezember 2025 wurden erneut mehrere sicherheitsrelevante Hinweise veröffentlicht, die – je nach betroffener Komponente – von DoS bis hin zu Code-Ausführung reichen. In diesem Beitrag geben wir einen Überblick über die wichtigsten Sicherheitslücken und die notwendigen Maßnahmen.
Kritische Schwachstellen im Dezember 2025
1. CVE-2025-42880 – Code-Injection in SAP Solution Manager (3685270)
CVSS-Score: 9,9 – Sehr hohe Priorität
Beschreibung: Durch fehlende Eingabebereinigung kann ein authentifizierter Angreifer beim Aufruf eines RFC-fähigen Funktionsbausteins schädlichen Code einschleusen und im Worst Case volle Systemkontrolle erlangen (C/I/A hoch).
Lösung: Korrekturanleitung oder Support Packages einspielen; Patch ergänzt Input-Sanitizing und lehnt die meisten nicht-alphanumerischen Zeichen ab.
2. CVE-2025-55754 / CVE-2025-55752 – Mehrere Schwachstellen in Apache Tomcat in SAP Commerce Cloud (3683579)
CVSS-Score: 9,6 – Sehr hohe Priorität
Beschreibung: SAP Commerce Cloud nutzt eine Tomcat-Version, die potenziell für Konsolenmanipulation via speziell gestaltete URL (CVE-2025-55754) und Directory Traversal (CVE-2025-55752) anfällig ist. Bei Ausnutzung können Vertraulichkeit, Integrität und Verfügbarkeit stark beeinträchtigt werden.
Lösung: Upgrade/Absicherung durch Patches mit gehärteter Konfiguration:
Patch-Release 2205.45
Update-Release 2211.47
Update-Release 2211-jdk21.5
Danach: neu generieren & re-deployen.
3. CVE-2025-42928 – Deserialisierung in SAP jConnect (SDK für ASE) (3685286)
CVSS-Score: 9,1 – Sehr hohe Priorität
Beschreibung: Unter bestimmten Bedingungen kann ein Benutzer mit hohen Berechtigungen eine Deserialisierungsschwachstelle ausnutzen → RCE (C/I/A hoch).
Lösung: Upgrade auf:
SDK FOR SAP ASE 16.0 SP04 PL08
SDK FÜR SAP ASE 16.1 SP00 PL01 HF1
4. CVE-2025-42878 – Offenlegung sensibler Daten in SAP Web Dispatcher & ICM (3684682)
CVSS-Score: 8,2 – Hohe Priorität
Beschreibung: Interne Testschnittstellen (Parameter icm/HTTP/icm_test_<x>) können – wenn explizit gesetzt – von nicht authentifizierten Angreifern missbraucht werden (Diagnosezugriff, gezielte Requests, Dienste stören).
Lösung: Alle icm/HTTP/icm_test_<x> aus DEFAULT- und Instanzprofil entfernen. Danach Web Dispatcher/Anwendungsserver neu starten
5. CVE-2025-42874 – DoS / pot. Codeausführung in SAP NetWeaver (Remote-Service für Xcelsius) (3640185)
CVSS-Score: 7,9 – Hohe Priorität
Beschreibung: Angreifer mit Netzwerkzugriff und hohen Berechtigungen können durch fehlerhafte Remote-Methodenverarbeitung Angriffe bis zu Serviceunterbrechung bzw. Systemsteuerung auslösen.
Lösung: Der für Xcelsius erforderliche Remote-Service wird entfernt → Support Package/Patch gemäß Hinweis einspielen.
6. CVE-2025-48976 – Denial-of-Service (DoS) in SAP Business Objects (3650226)
CVSS-Score: 7,5 – Hohe Priorität
Beschreibung: Ein nicht authentifizierter Angreifer kann durch Überlastung via unsachgemäße Anfrage-/Ressourcenbehandlung den Service stören (lange Verzögerungen/Unterbrechung).
Lösung: Patches einspielen (Drittanbieterkomponenten aktualisiert, Ressourcenmanagement gehärtet; Abschnitt „Support Packages & Patches“).
7. CVE-2025-42877 – Speicherbeschädigung in Web Dispatcher/ICM/Content Server (3677544)
CVSS-Score: 7,5 – Hohe Priorität
Beschreibung: Ein nicht authentifizierter Benutzer kann Speicher-/Logikfehler triggern → Crash/DoS.
Lösung: Patch über Kernel-/Komponenten-Updates:
Web Dispatcher/ICM: Kernel-Patch-Level gemäß Hinweis
XSA: Upgrade auf ≥ 1.4.0 (Hinweis 3636955)
Content Server: Update via SAPCS.SAR + Austausch Executables + Neustart
8. CVE-2025-42876 – Fehlende Berechtigungsprüfung in SAP S/4HANA Private Cloud (FI Hauptbuch) (3672151)
CVSS-Score: 7,1 – Hohe Priorität
Beschreibung: Ein authentifizierter Angreifer mit auf einen Buchungskreis beschränkten Rechten kann sensible Daten lesen sowie Belege buchungskreisübergreifend buchen/ändern.
Lösung: Korrekturanleitungen oder Support Packages einspielen; Zugriffsbeschränkungen werden korrekt erzwungen.
Behelfslösung: Temporär Änderungen aus SAP-Hinweis 3673002 übernehmen.
Handlungsempfehlungen
Um SAP-Systeme bestmöglich gegen Angriffe abzusichern, sollten Unternehmen die folgenden Maßnahmen zeitnah umsetzen:
Patches zeitnah einspielen, insbesondere bei CVSS-Werten über 9,0.
Kernel-Updates einplanen
Testumgebungen nutzen, bevor Updates in produktiven Systemen eingespielt werden.
Überwachungstools einsetzen, um Schwachstellen in Echtzeit zu erkennen.
Regelmäßige Security-Checks, um auch abseits der Patchdays sicherheitsrelevante Risiken zu identifizieren.
Wie Go Next Consulting euch bei der Absicherung eurer SAP-Systeme unterstützt
Wir bieten Managed Security Services, um Unternehmen bei der Identifikation, Bewertung und Behebung von Sicherheitslücken in SAP-Systemen zu unterstützen.
Unsere Leistungen im Überblick:
✅ Regelmäßige Sicherheits-Checks:
Proaktive Überwachung und Analyse potenzieller Bedrohungen
✅ Patch-Management:
Unterstützung bei der schnellen und reibungslosen Implementierung von SAP-Sicherheitsupdates --> siehe Managed SAP Security Notes Service
✅ Schwachstellen-Scans:
Identifikation von Sicherheitslücken in Echtzeit mit modernen Security-Tools wie SecurityBridge
✅ Risikominimierung:
Strategien zur Stärkung der SAP-Sicherheitsarchitektur, ohne den laufenden Betrieb zu gefährden
Mit unserer Expertise im Bereich SAP Security helfen wir euch, euer System kontinuierlich zu schützen und Angriffsrisiken zu minimieren.
Fazit zum SAP Security Patch Day im Dezember
Der Patch Day im Dezember 2025 zeigt erneut, dass kritische Schwachstellen vor allem in zentralen SAP-Komponenten auftreten. Es verdeutlicht wieder, wie wichtig ein konsequentes Patch-Management ist.
Wer Sicherheitsrisiken minimieren will, sollte die Hinweise nicht nur zügig einspielen, sondern auch grundlegende Konzepte zur Härtung und Überwachung etablieren. Wenn ihr dabei Unterstützung gebrauchen könnt, helfen wir euch gerne!
Bleibt wachsam und up-to-date – für eine sichere SAP-Zukunft!
Kommentare