SAP hat am Dienstag dieser Woche die Sicherheitsmitteilungen zum April-Patchday veröffentlicht. Insgesamt behandelt das Walldorfer Unternehmen in 18 Security-Bulletins Schwachstellen. Davon gelten drei als kritisches Sicherheitsrisiko, vier hingegen als hohes.

In der Patchday-Übersicht listet SAP die einzelnen Mitteilungen auf. Tief in die Details gehen die Beschreibungen dort nicht, die finden Admins nach Log-in in ihren SAP-Account unter der von SAP verlinkten Notiz-Nummer.

SAP: Kritische Sicherheitslücken

Durch die kritischen Sicherheitslücken können Angreifer Schadcode in SAP S/4HANA (Private Cloud) (CVE-2025-27429, CVSS 9.9, Risiko „kritisch„) sowie SAP Landscape Transformation (Analysis Platform) (CVE-2025-31330, CVSS 9.9, Risiko „kritisch„) einschleusen und ausführen. Bösartige Akteure können zudem die Authentifizierung in SAP Financial Consolidation umgehen (CVE-2025-30016, CVSS 9.8, Risiko „kritisch„).

IT-Verantwortliche sollten prüfen, ob die in ihren Netzwerken eingesetzte Software unter den von Schwachstellen betroffenen Programmen findet, und zügig die bereitstehenden Updates installieren. Die aktuellen Sicherheitsmeldungen von SAP nach Risikoeinstufung sortiert:

  • Code Injection Vulnerability in SAP S/4HANA (Private Cloud), CVE-2025-27429, CVSS 9.9, Risiko „kritisch
  • Code Injection Vulnerability in SAP Landscape Transformation (Analysis Platform), CVE-2025-31330, CVSS 9.9, kritisch
  • Authentication Bypass Vulnerability in SAP Financial Consolidation, CVE-2025-30016, CVSS 9.8, kritisch
  • Mixed Dynamic RFC Destination vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP, CVE-2025-23186, CVSS 8.5, hoch
  • Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat within SAP Commerce Cloud, CVE-2024-56337, CVSS 8.1, hoch
  • Directory Traversal vulnerability in SAP Capital Yield Tax Management, CVE-2025-30014, CVSS 7.7, hoch
  • Directory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection), CVE-2025-27428, CVSS 7.7, hoch
  • Potential information disclosure vulnerability in SAP Commerce Cloud (Public Cloud), CVE-2025-26654, CVSS 6.8, mittel
  • Code Injection vulnerability in SAP ERP BW Business Content, CVE-2025-30013, CVSS 6.7, mittel
  • Insecure File permissions vulnerability in SAP BusinessObjects Business Intelligence Platform, CVE-2025-31332, CVSS 6.6, mittel
  • Information Disclosure vulnerability in SAP KMC WPC, CVE-2025-26657, CVSS 5.3, mittel
  • Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML), CVE-2025-26653, CVSS 4.7, mittel
  • Missing Authorization check in SAP Solution Manager, CVE-2025-30017, CVSS 4.4, mittel
  • Odata meta-data tampering in SAP S4CORE entity, CVE-2025-31333, CVSS 4.3, mittel
  • Missing Authorization check in SAP NetWeaver Application Server ABAP (Virus Scan Interface), CVE-2025-27437, CVSS 4.3, mittel
  • Authorization Bypass vulnerability in SAP NetWeaver, CVE-2025-31331, CVSS 4.3, mittel
  • Information Disclosure Vulnerability in SAP Commerce Cloud, CVE-2025-27435, CVSS 4.2, mittel
  • Memory Corruption vulnerability in SAP NetWeaver and ABAP Platform (Application Server ABAP), CVE-2025-30015, CVSS 4.1, mittel

Außerdem hat SAP zwei ältere Sicherheitsmitteilungen aktualisiert. Eine betrifft die SAP BusinessObjects Business Intelligence Platform, in der initial im Februar eine hochriskante Lücke entdeckt wurde, die andere eine Server Side Request Forgery (SSRF) in SAP CRM und SAP S/4 HANA mit niedrigem Schweregrad, die ursprünglich im März behandelt wurde.

Im März hatte SAP sich mit 22 Sicherheitsmitteilungen um zahlreiche Sicherheitslücken in der Software aus dem Hause gekümmert. Im Februar war das Aufkommen mit 18 Sicherheitsmitteilungen gleich hoch wie im April, jedoch war dort der höchste Bedrohungsgrad der Schwachstellen das Risiko „hoch“.

(dmk)