top of page
Suche

SAP Security Patch Day - März 2025: Kritische Schwachstellen und Gegenmaßnahmen

  • Autorenbild: GoNextConsulting
    GoNextConsulting
  • 11. März
  • 3 Min. Lesezeit

Jeden Monat veröffentlicht SAP wichtige Sicherheitsupdates, um potenzielle Schwachstellen in seinen Produkten zu beheben. Der SAP Security Patch Day im März 2025 brachte mehrere sicherheitsrelevante Patches, darunter einige kritische Schwachstellen mit hohen CVSS-Werten. In diesem Blogbeitrag stellen wir die wichtigsten Sicherheitslücken vor und geben praxisnahe Empfehlungen zur Absicherung eurer SAP-Systeme. 


SAP Security Patch Day März
Aufteilung der Schwachstellen

Kritische Schwachstellen im März 2025 – Ein Überblick


SAP hat im Februar 2025 mehrere sicherheitsrelevante Schwachstellen in verschiedenen SAP-Komponenten veröffentlicht. Die kritischsten Schwachstellen, geordnet nach Schweregrad (CVSS-Score), sind:



1. CVE-2025-27434: Cross-Site-Scripting (XSS) in SAP Commerce (Swagger-UI) (3569602)

  • CVSS-Score: 8,8 – Sehr hohe Priorität 

  • Beschreibung: Eine unzureichende Eingabevalidierung ermöglicht es Angreifern, Schadcode aus Remote-Quellen einzuschleusen und Cross-Site-Scripting-Angriffe (XSS) durchzuführen. 

  • Lösung: 

  • Wechsel des Starter-Themes in Swagger-UI zur Vermeidung der XSS-Schwachstelle 

  • Installation des SAP Commerce Cloud Patch-Release 2211.37



2. CVE-2025-26661 – Fehlende Berechtigungsprüfung in SAP NetWeaver (ABAP Class Builder) (3563927)

  • CVSS-Score: 8,8 – Sehr hohe Priorität 

  • Beschreibung: Eine fehlende Berechtigungsprüfung im ABAP Class Builder kann zur Rechteausweitung und zur Offenlegung sensibler Daten führen. 

  • Lösung: 

  • Einspielen der Sicherheitskorrektur. Dadurch wird die Workbench von der Ausführung durch die Transaktion SA38 ausgeschlossen.



3. CVE-2024-38286 – Mehrere Schwachstellen in Apache Tomcat in SAP Commerce Cloud (3566851)

  • CVSS-Score: 8,6 – Sehr hohe Priorität 

  • Beschreibung: Die in SAP Commerce Cloud verwendete Version von Apache Tomcat ist anfällig für DoS-Angriffe und ungeprüfte Fehlerbedingungen.

  • Lösung: 

  • Upgrade auf die gepatchte Version von Apache Tomcat, enthalten in:  

  • SAP-Commerce-Cloud-Patch-Release 2205.36 

  • SAP-Commerce-Cloud-Update-Release 2211.37



4. CVE-2025-24876 – Authentifizierungsumgehung über Berechtigungscode-Injection in SAP Approuter (3567974)

  • CVSS-Score: 8,1 – Hohe Priorität 

  • Beschreibung: In bestimmten SAP-AppRouter-Versionen vor 16.7.2 ist eine Authentifizierungsumgehung möglich. 

  • Lösung: 

  • Upgrade auf SAP-AppRouter-Version 16.7.2 oder höher



5. CVE-2024-39592 – Fehlende Berechtigungsprüfung in SAP PDCE (3483344)

  • CVSS-Score: 7,7 – Hohe Priorität 

  • Beschreibung: Einige Komponenten von SAP PDCE prüfen nicht die erforderlichen Berechtigungen für authentifizierte Benutzer, was zu einer Rechteausweitung führt. 

  • Lösung:

  • Die betroffenen Funktionen wurden deaktiviert. Einspielen des entsprechenden Support Packages erforderlich. 


SAP Security Updates

Empfohlene Sicherheitsmaßnahmen für euer SAP-System


Um eure SAP-Systeme vor potenziellen Angriffen zu schützen, solltet ihr folgende Maßnahmen zeitnah umsetzen: 


  • Sicherheitsupdates sofort installieren – insbesondere für Schwachstellen mit einem CVSS-Score von 7,0 oder höher

  • Regelmäßige Patches & Updates durchführen, um Sicherheitslücken kontinuierlich zu schließen 

  • Updates in einer Testumgebung prüfen, bevor sie im Produktivsystem ausgerollt werden

  • Security-Tools wie SecurityBridge nutzen, um Schwachstellen in Echtzeit zu erkennen

  • Go Next Managed Service in Anspruch nehmen, um eure SAP-Sicherheitsstrategie langfristig abzusichern



Wie Go Next Consulting euch bei der Absicherung eurer SAP-Systeme unterstützt


Go Next Consulting bietet Managed Security Services, um Unternehmen bei der Identifikation, Bewertung und Behebung von Sicherheitslücken in SAP-Systemen zu unterstützen.


Unsere Leistungen im Überblick:


Regelmäßige Sicherheits-Checks: Proaktive Überwachung und Analyse potenzieller Bedrohungen

Patch-Management: Unterstützung bei der schnellen und reibungslosen Implementierung von SAP-Sicherheitsupdates

Schwachstellen-Scans: Identifikation von Sicherheitslücken in Echtzeit mit modernen Security-Tools wie SecurityBridge

Risikominimierung: Strategien zur Stärkung der SAP-Sicherheitsarchitektur, ohne den laufenden Betrieb zu gefährden


Mit unserer Expertise im Bereich SAP Security Management helfen wir euch, euer System kontinuierlich zu schützen und Angriffsrisiken zu minimieren.




Fazit zum SAP Security Patch Day im März


Die im März 2025 veröffentlichten Sicherheitsupdates betreffen kritische Komponenten in SAP Commerce Cloud, SAP NetWeaver und SAP PDCE. Unternehmen sollten die bereitgestellten Updates schnellstmöglich implementieren, um ihre SAP-Umgebungen gegen potenzielle Angriffe abzusichern. 


Bleibt informiert und setzt die aktuellen Patches zeitnah um, um euer Unternehmen vor Bedrohungen zu schützen! 

Comments

bottom of page