top of page
Suche

SAP Security Patch Day - Juni 2025: Kritische Schwachstellen im Fokus

  • Autorenbild: GoNextConsulting
    GoNextConsulting
  • 10. Juni
  • 3 Min. Lesezeit

Jeden Monat veröffentlicht SAP wichtige Sicherheitsupdates, um potenzielle Schwachstellen in seinen Produkten zu beheben. Der SAP Security Patch Day im Juni 2025 brachte mehrere sicherheitsrelevante Patches, darunter einige kritische Schwachstellen mit hohen CVSS-Werten. In diesem Blogbeitrag stellen wir die wichtigsten Sicherheitslücken vor und geben praxisnahe Empfehlungen zur Absicherung eurer SAP-Systeme. 


SAP Security Patch Day Juni
Aufteilung der Schwachstellen

Kritische Schwachstellen im Juni 2025


1. CVE-2025-42989 – Fehlende Berechtigungsprüfung in SAP NetWeaver AS ABAP (3600840)

  • CVSS-Score: 9,6 – Sehr hohe Priorität 

  • Beschreibung: Fehlende Prüfung der S_RFC-Berechtigung für tRFC- und qRFC-Aufrufe kann zu einer gravierenden Rechteausweitung führen.

  • Lösung: Kernel-Patch einspielen und Parameter rfc/authCheckInPlayback = 1 setzen. Möglicherweise sind zusätzliche Berechtigungen für Nutzer erforderlich.



2. CVE-2025-42982 – Offenlegung von Informationen in SAP GRC AC Plug-In (3609271)

  • CVSS-Score: 8,8 – Hohe Priorität 

  • Beschreibung: Nicht administrative Nutzer können über Transaktionen Systemanmeldeinformationen manipulieren. Hohe Auswirkungen auf alle Schutzziele.

  • Lösung: Korrekturen via SNote oder Support Package einspielen; Report-Ausführung wird unterbunden.



3. CVE-2025-42983 – Fehlende Berechtigungsprüfung in SAP BW und SAP Basis Plug-In (3606484)

  • CVSS-Score: 8,5 – Hohe Priorität 

  • Beschreibung: Authentifizierte Angreifer können Datenbanktabellen löschen. Gefahr von Datenverlust.

  • Lösung: Korrekturen via SNote oder Support Package einspielen. Problem wird durch Entfernung von Quelltext im RFC-Funktionsbaustein behoben.



4. CVE-2025-23192 – Cross-Site-Scripting in SAP BusinessObjects BI (BI-Arbeitsbereich) (3560693)

  • CVSS-Score: 8,2 – Hohe Priorität 

  • Beschreibung: Nicht authentifizierte Angreifer können persistente XSS-Skripte im BI-Arbeitsbereich einschleusen. 

  • Lösung: Patches gemäß SAP-Hinweis einspielen. Eingaben werden nun korrekt bereinigt.



5. CVE-2025-42977 – Directory-Traversal in SAP NetWeaver Visual Composer (3610591)

  • CVSS-Score: 7,6 – Hohe Priorität 

  • Beschreibung: Weitreichend berechtigte Benutzer können durch fehlerhafte URL-Parameterprüfung unautorisierte Dateien lesen oder ändern. 

  • Lösung: Patches gemäß SAP-Hinweis einspielen. Validierung der URL-Parameter implementiert.



6. CVE-2025-42994, CVE-2025-42995 – Speicherbeschädigung in SAP MDM Server (3610006)

  • CVSS-Score: 7,5 (jeweils) – Hohe Priorität 

  • Beschreibung: Fehler in der ReadString- und Read-Funktion führen zum Absturz des Serverprozesses (DoS-Risiko). 

  • Lösung: Patches gemäß SAP-Hinweis einspielen. 



SAP Security Updates

Empfohlene Schutzmaßnahmen 


Um SAP-Systeme bestmöglich gegen Angriffe abzusichern, sollten Unternehmen die folgenden Maßnahmen zeitnah umsetzen:


  1. Sicherheitsupdates sofort installieren – Besonders für Schwachstellen mit einem CVSS-Score von 7,0 oder höher.

  2. Regelmäßige Patches & Updates durchführen – So werden Sicherheitslücken kontinuierlich geschlossen.

  3. Updates in einer Testumgebung prüfen – Vor dem Rollout in Produktivsysteme.

  4. Security-Tools wie SecurityBridge nutzen – Zur Echtzeiterkennung und Überwachung von Schwachstellen.

  5. Managed Services in Anspruch nehmen – Für eine langfristige Absicherung der SAP-Sicherheitsstrategie. 



Wie Go Next Consulting euch bei der Absicherung eurer SAP-Systeme unterstützt


Wir bieten Managed Security Services, um Unternehmen bei der Identifikation, Bewertung und Behebung von Sicherheitslücken in SAP-Systemen zu unterstützen.


Unsere Leistungen im Überblick:


✅ Regelmäßige Sicherheits-Checks:

Proaktive Überwachung und Analyse potenzieller Bedrohungen


Patch-Management:

Unterstützung bei der schnellen und reibungslosen Implementierung von SAP-Sicherheitsupdates


Schwachstellen-Scans:

Identifikation von Sicherheitslücken in Echtzeit mit modernen Security-Tools wie SecurityBridge


Risikominimierung:

Strategien zur Stärkung der SAP-Sicherheitsarchitektur, ohne den laufenden Betrieb zu gefährden


Mit unserer Expertise im Bereich SAP Security Management helfen wir euch, euer System kontinuierlich zu schützen und Angriffsrisiken zu minimieren.




Fazit zum SAP Security Patch Day im Juni


Der Juni 2025 war ein sicherheitskritischer Monat für SAP-Anwender. Mehrere Schwachstellen mit hohen CVSS-Werten erfordern sofortiges Handeln. Unternehmen sollten die Hinweise ernst nehmen, die empfohlenen Patches einspielen und ihre Berechtigungskonzepte sowie Schnittstellenhärte überprüfen.


Bleibt wachsam und up-to-date – für eine sichere SAP-Zukunft! 

bottom of page