Jeden Monat veröffentlicht SAP wichtige Sicherheitsupdates, um potenzielle Schwachstellen in seinen Produkten zu beheben. Der SAP Security Patch Day im März 2025 brachte mehrere sicherheitsrelevante Patches, darunter einige kritische Schwachstellen mit hohen CVSS-Werten. In diesem Blogbeitrag stellen wir die wichtigsten Sicherheitslücken vor und geben praxisnahe Empfehlungen zur Absicherung eurer SAP-Systeme.
Kritische Schwachstellen im März 2025 – Ein Überblick
SAP hat im Februar 2025 mehrere sicherheitsrelevante Schwachstellen in verschiedenen SAP-Komponenten veröffentlicht. Die kritischsten Schwachstellen, geordnet nach Schweregrad (CVSS-Score), sind:
1. CVE-2025-27434: Cross-Site-Scripting (XSS) in SAP Commerce (Swagger-UI) (3569602)
CVSS-Score: 8,8 – Sehr hohe Priorität
Beschreibung: Eine unzureichende Eingabevalidierung ermöglicht es Angreifern, Schadcode aus Remote-Quellen einzuschleusen und Cross-Site-Scripting-Angriffe (XSS) durchzuführen.
Lösung:
Wechsel des Starter-Themes in Swagger-UI zur Vermeidung der XSS-Schwachstelle
Installation des SAP Commerce Cloud Patch-Release 2211.37
2. CVE-2025-26661 – Fehlende Berechtigungsprüfung in SAP NetWeaver (ABAP Class Builder) (3563927)
3. CVE-2024-38286 – Mehrere Schwachstellen in Apache Tomcat in SAP Commerce Cloud (3566851)
4. CVE-2025-24876 – Authentifizierungsumgehung über Berechtigungscode-Injection in SAP Approuter (3567974)
5. CVE-2024-39592 – Fehlende Berechtigungsprüfung in SAP PDCE (3483344)
Empfohlene Sicherheitsmaßnahmen für euer SAP-System
Um eure SAP-Systeme vor potenziellen Angriffen zu schützen, solltet ihr folgende Maßnahmen zeitnah umsetzen:
Sicherheitsupdates sofort installieren – insbesondere für Schwachstellen mit einem CVSS-Score von 7,0 oder höher
Regelmäßige Patches & Updates durchführen, um Sicherheitslücken kontinuierlich zu schließen
Updates in einer Testumgebung prüfen, bevor sie im Produktivsystem ausgerollt werden
Security-Tools wie SecurityBridge nutzen, um Schwachstellen in Echtzeit zu erkennen
Go Next Managed Service in Anspruch nehmen, um eure SAP-Sicherheitsstrategie langfristig abzusichern
Wie Go Next Consulting euch bei der Absicherung eurer SAP-Systeme unterstützt
Go Next Consulting bietet Managed Security Services, um Unternehmen bei der Identifikation, Bewertung und Behebung von Sicherheitslücken in SAP-Systemen zu unterstützen.
Unsere Leistungen im Überblick:
✅ Regelmäßige Sicherheits-Checks: Proaktive Überwachung und Analyse potenzieller Bedrohungen
✅ Patch-Management: Unterstützung bei der schnellen und reibungslosen Implementierung von SAP-Sicherheitsupdates
✅ Schwachstellen-Scans: Identifikation von Sicherheitslücken in Echtzeit mit modernen Security-Tools wie SecurityBridge
✅ Risikominimierung: Strategien zur Stärkung der SAP-Sicherheitsarchitektur, ohne den laufenden Betrieb zu gefährden
Mit unserer Expertise im Bereich SAP Security Management helfen wir euch, euer System kontinuierlich zu schützen und Angriffsrisiken zu minimieren.
Fazit zum SAP Security Patch Day im März
Die im März 2025 veröffentlichten Sicherheitsupdates betreffen kritische Komponenten in SAP Commerce Cloud, SAP NetWeaver und SAP PDCE. Unternehmen sollten die bereitgestellten Updates schnellstmöglich implementieren, um ihre SAP-Umgebungen gegen potenzielle Angriffe abzusichern.
Bleibt informiert und setzt die aktuellen Patches zeitnah um, um euer Unternehmen vor Bedrohungen zu schützen!
Comments