-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in SAP producten Advisory ID : NCSC-2025-0219 Versie : 1.00 Kans : medium CVE ID : CVE-2024-53677, CVE-2025-31326, CVE-2025-42952, CVE-2025-42953, CVE-2025-42954, CVE-2025-42959, CVE-2025-42960, CVE-2025-42961, CVE-2025-42962, CVE-2025-42963, CVE-2025-42964, CVE-2025-42965, CVE-2025-42966, CVE-2025-42967, CVE-2025-42968, CVE-2025-42969, CVE-2025-42970, CVE-2025-42971, CVE-2025-42973, CVE-2025-42974, CVE-2025-42978, CVE-2025-42979, CVE-2025-42980, CVE-2025-42981, CVE-2025-42985, CVE-2025-42986, CVE-2025-43001 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Control of Generation of Code ('Code Injection') URL Redirection to Untrusted Site ('Open Redirect') Deserialization of Untrusted Data Missing Authorization Improper Verification of Source of a Communication Channel Server-Side Request Forgery (SSRF) Loop with Unreachable Exit Condition ('Infinite Loop') Out-of-bounds Write Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) Insecure Storage of Sensitive Information Unrestricted Upload of File with Dangerous Type Incorrect Privilege Assignment Use of Single-factor Authentication Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Files or Directories Accessible to External Parties Uitgiftedatum : 20250709 Toepassing : SAP Business Warehouse and Plug-In Basis SAP Business Warehouse, BW-4HANA BEx Tools SAP BusinessObjects Content Administrator workbench SAP NetWeaver ABAP Server, ABAP Platform SAP NetWeaver Business Warehouse SAP NetWeaver Enterprise Portal Administration SAP NetWeaver Enterprise Portal Federated Portal Network SAP S4HANA, SCM SAP SAP Business Warehouse (Business Explorer Web 3.5 loading animation) SAP SAP Business Warehouse and SAP BW/4HANA BEx Tools SAP SAP BusinessObjects Business Intelligence Platform (Web Intelligence) SAP SAP BusinessObjects Content Administrator workbench SAP SAP Data Services (DQ Report) SAP SAP GUI for Windows SAP SAP NetWeaver (XML Data Archiving Service) SAP SAP NetWeaver Application Server Java SAP SAP NetWeaver Application Server for Java (Log Viewer ) SAP SAP NetWeaver and ABAP Platform (SDCCN) SAP SAP S/4HANA and SAP SCM (Characteristic Propagation) SAP SAPCAR SAP businessobjects_content_administrator_workbench SAP s/4hana SAP scm Versie(s) : Platform(s) : Beschrijving SAP heeft kwetsbaarheden verholpen in verschillende producten, waaronder SAP S/4HANA, SAP SCM, en SAP NetWeaver. De kwetsbaarheden omvatten onder andere remote code execution, code injectie, en insecure deserialization, die door aanvallers met gebruikersprivileges kunnen worden misbruikt om schadelijke code te creëren of uit te voeren. Dit kan leiden tot ernstige bedreigingen voor de vertrouwelijkheid, integriteit en beschikbaarheid van de getroffen systemen. Specifieke kwetsbaarheden zoals een replay-aanval en privilege-escalatie zijn ook geïdentificeerd, wat de noodzaak benadrukt voor strikte autorisatiecontroles en monitoring van de systemen. De impact varieert van ongeautoriseerde toegang tot gegevens tot volledige systeemcompromittering. Mogelijke oplossingen SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference - certbundde https://support.sap.com/en/my-support/knowledge-base/security- notes-news/july-2025.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmhuKFQACgkQytTOqyR+ cF+WyAv9HBaaNRO4gfWZyUIQuDY3ZjwqCVmoI6zpaywLi4d7XkUc7LWzdbQ2kDql ndxkzNNZ2jJQPJi0LhMJwCfHbzbQvfGLNzNy3TNQtEFncC7RCJEzz6trA+eOhKZt D+3ViWEdSD65WuPVagW1fLNlbYagl/8AAPgOFiT0F4DWoTikv5422z/WEETi5TN9 lJyqR7iwNJI9t7tQarLJ6FihYIeU7XWZ0YKVM3rfzyd3Fum3KmecgQ0W4fyZWhfw OZVloBRuQpLC3GRz0eEmXIT22JxZfXPRY2+LjIOD/LEE0Wpu6HVwoDeaXZkfcbjh nRAnjVxFKexli6+jToLxgOJoAjLWaDFsMwHq2H4D3d/0xCtLuD+OM08UmNBlT0ri 0P/ol1TD9VGo8GMstcZnbrYiEl4gWvvvAInS7xdOFcXokXhG4JkKtTLbMUjtwC6y yK9LTBF6LsKR4V2PByDWTmb36d5zoadv1LOz12a9dl4q8HZ9StCqGsnRPITvKzbI 1/l4HWbH =ifqa -----END PGP SIGNATURE-----