NCSC NL | Beveiligingsadviezen

Beveilingsadvies; NCSC-2025-0119 [1.0.0]

Beveiligingsadvies: NCSC-2025-0119 [1.0.0]
Publicatie: 09-04-2025 11:12 (Europe/Amsterdam)
Prioriteit: Normaal
Betreft: Kwetsbaarheden verholpen in SAP-producten

Kenmerken

Improper Control of Generation of Code ('Code Injection')
Time-of-check Time-of-use (TOCTOU) Race Condition
Path Traversal: '.../...//'
Insecure Inherited Permissions
Storage of Sensitive Data in a Mechanism without Access Control
External Control of Assumed-Immutable Web Parameter
Cleartext Transmission of Sensitive Information
Missing Authorization
Server-Side Request Forgery (SSRF)
Incorrect Authorization
Out-of-bounds Write
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Omschrijving

SAP heeft kwetsbaarheden verholpen in verschillende producten, waaronder SAP Financial Consolidation, SAP Landscape Transformation, SAP NetWeaver Application Server ABAP, SAP Commerce Cloud, SAP ERP BW, SAP BusinessObjects Business Intelligence Platform, SAP KMC WPC, SAP Solution Manager, SAP S4CORE, en SAP CRM.

De uitgebrachte paches bevatten een aantal kritieke kwetsbaarheden met de kenmerken CVE-2025-30016, CVE-2025-31330 en CVE-2025-27429.

De kwetsbaarheid met kenmerk CVE-2025-30016 is een kritieke authenticatie-bypass in SAP Financial Consolidation, die ongeauthenticeerde aanvallers toegang geeft tot het Admin-account.

SAP Landscape Transformation heeft een kwetsbaarheid met kenmerk CVE-2025-31330, die het mogelijk maakt voor aanvallers met gebruikersprivileges om willekeurige ABAP-code in te voegen.

De kwetsbaarheid met kenmerk CVE-2025-27429 in SAP S/4HANA (Private Cloud) stelt een aanvaller met gebruikersprivileges in staat om willekeurige ABAP-code in de RFC-functiemodule te injecteren en autorisatiecontroles te omzeilen, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem in gevaar komen.

SAP NetWeaver Application Server ABAP heeft een Mixed Dynamic RFC Destination-kwetsbaarheid die kan leiden tot blootstelling van gevoelige inloggegevens. Daarnaast zijn er kwetsbaarheden in SAP Commerce Cloud die de vertrouwelijkheid en integriteit van gegevens in gevaar kunnen brengen. De kwetsbaarheden in SAP ERP BW en SAP BusinessObjects kunnen leiden tot ongeautoriseerde uitvoering van commando's en wijziging van bestanden. De directory traversal-kwetsbaarheden in SAP Capital Yield Tax Management en SAP Solution Manager stellen aanvallers in staat om gevoelige informatie te verkrijgen. De SSRF-kwetsbaarheid in SAP CRM en SAP S/4HANA kan de vertrouwelijkheid van interne netwerkbronnen in gevaar brengen.

Oplossingen

SAP heeft patches uitgebracht om de kwetsbaarheden in de genoemde producten te verhelpen. Zie bijgevoegde referenties voor meer informatie.

Referenties

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2025.html

CVE's

CVE-2025-30016 - CVSS (v4) 9.3
CVE-2025-31330 - CVSS (v4) 8.7
CVE-2025-23186 - CVSS (v3) 8.5
CVE-2024-56337 - CVSS (v4) 7.2
CVE-2025-30014 - CVSS (v4) 5.3
CVE-2025-27428 - CVSS (v4) 5.3
CVE-2025-26654 - CVSS (v4) 6.3
CVE-2025-30013 - CVSS (v4) 8.6
CVE-2025-31332 - CVSS (v4) 4.8
CVE-2025-26657 - CVSS (v4) 6.9
CVE-2025-26653 - CVSS (v4) 5.3
CVE-2025-30017 - CVSS (v4) 4.8
CVE-2025-31333 - CVSS (v4) 5.3
CVE-2025-27437 - CVSS (v3) 4.3
CVE-2025-31331 - CVSS (v3) 4.3
CVE-2025-27435 - CVSS (v4) 2.3
CVE-2025-30015 - CVSS (v3) 4.1
CVE-2025-27430 - CVSS (v3) 3.5

Producten

SAP

BusinessObjects Financial Consolidation

ERP Financials Information System

Enterprise Extension Financial Services

Enterprise Financial Services

Financial Consolidation

Financial Consolidation Cube Designer

NetWeaver

NetWeaver (SAP Enterprise Portal)

NetWeaver AS ABAP (BSP Framework)

NetWeaver AS ABAP (Business Server Pages application)

Commerce

Commerce Cloud

Landscape Management

Solution Manager

Commerce Data Hub

Business Application Software Integrated Solution

Landscape Transformation

Netweaver System Landscape Directory

landscape_management

ATOSS

ATOSS Staff Efficiency Suite

Amazon

Amazon Linux 2

Apache

Tomcat

tomcat

SAP_SE

SAP S/4HANA (Private Cloud)

SAP Landscape Transformation (Analysis Platform)

SAP NetWeaver AS Java (System Landscape Directory)

sap

landscape_management

landscape_transformation_replication_server

Disclaimer

The Netherlands Cyber Security Center (henceforth: NCSC-NL) maintains this page to enhance access to its information and security advisories. The use of this security advisory is subject to the following terms and conditions: NCSC-NL makes every reasonable effort to ensure that the content of this page is kept up to date, and that it is accurate and complete. Nevertheless, NCSC-NL cannot entirely rule out the possibility of errors, and therefore cannot give any warranty in respect of its completeness, accuracy or continuous keeping up-to-date. The information contained in this security advisory is intended solely for the purpose of providing general information to professional users. No rights can be derived from the information provided therein. NCSC-NL and the Kingdom of the Netherlands assume no legal liability or responsibility for any damage resulting from either the use or inability of use of this security advisory. This includes damage resulting from the inaccuracy of incompleteness of the information contained in the advisory. This security advisory is subject to Dutch law. All disputes related to or arising from the use of this advisory will be submitted to the competent court in The Hague. This choice of means also applies to the court in summary proceedings.