-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in SAP producten Advisory ID : NCSC-2025-0275 Versie : 1.00 Kans : medium CVE ID : CVE-2023-5072, CVE-2023-27500, CVE-2024-13009, CVE-2025-22228, CVE-2025-27428, CVE-2025-42911, CVE-2025-42912, CVE-2025-42913, CVE-2025-42914, CVE-2025-42915, CVE-2025-42916, CVE-2025-42917, CVE-2025-42918, CVE-2025-42920, CVE-2025-42922, CVE-2025-42923, CVE-2025-42925, CVE-2025-42926, CVE-2025-42927, CVE-2025-42929, CVE-2025-42930, CVE-2025-42933, CVE-2025-42938, CVE-2025-42941, CVE-2025-42944, CVE-2025-42958, CVE-2025-42961 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Control of Generation of Code ('Code Injection') Execution with Unnecessary Privileges Improper Authentication Missing Authentication for Critical Function Predictable from Observable State Cross-Site Request Forgery (CSRF) Improper Resource Shutdown or Release Deserialization of Untrusted Data Weak Password Requirements Insufficiently Protected Credentials Unchecked Input for Loop Condition Allocation of Resources Without Limits or Throttling Missing Authorization Incorrect Authorization Use of Web Link to Untrusted Target with window.opener Access Improper Validation of Specified Type of Input Dependency on Vulnerable Third-Party Component Uitgiftedatum : 20250909 Toepassing : SAP Business Planning and Consolidation SAP NetWeaver ABAP Platform SAP NetWeaver AS Java SAP Netweaver SAP SAP Business One (SLD) SAP SAP Fiori (Launchpad) SAP SAP Fiori App (F4044 Manage Work Center Groups) SAP SAP HCM (Approve Timesheets Fiori 2.0 application) SAP SAP HCM (My Timesheet Fiori 2.0 application) SAP SAP Landscape Transformation Replication Server SAP SAP NetWeaver (Service Data Download) SAP SAP NetWeaver AS Java (Adobe Document Service) SAP SAP NetWeaver AS Java (Deploy Web Service) SAP SAP NetWeaver AS Java (IIOP Service) SAP SAP NetWeaver Application Server Java SAP SAP NetWeaver Application Server for ABAP SAP SAP NetWeaver Application Server for ABAP (Background Processing) SAP SAP NetWeaver and ABAP Platform (Service Data Collection) SAP SAP Netweaver (RMI-P4) SAP SAP S/4HANA (Private Cloud or On-Premise) SAP Supplier Relationship Management Versie(s) : Platform(s) : Beschrijving SAP heeft kwetsbaarheden verholpen in verschillende producten, waaronder in SAP NetWeaver, SAP NetWeaver Application Server Java en SAP Landscape Transformation. De kwetsbaarheden bevinden zich onder andere in de RMI-P4 module en de SAP NetWeaver AS Java platform. De kwetsbaarheid met kenmerk CVE-2025-42944 betreft een deserialisatieprobleem dat kan worden misbruikt door niet- geauthenticeerde aanvallers, wat kan leiden tot willekeurige OS- commando-executie. Dit bedreigt de vertrouwelijkheid, integriteit en beschikbaarheid van de applicatie. De kwetsbaarheid met kenmerk CVE-2025-42922 stelt geauthenticeerde niet-administratieve gebruikers in staat om willekeurige bestanden te uploaden via de Deploy Web Service-functie. Dit kan ook leiden tot compromittering van systeemvertrouwelijkheid, integriteit en beschikbaarheid. Mogelijke oplossingen SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://support.sap.com/en/my-support/knowledge-base/security- notes-news/september-2025.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmjAC/0ACgkQytTOqyR+ cF9xjQwAgewe13G1u3sZsfGfwrvbgctEy+98o+p0q/bVZYWyTLWWaON3NU4C0yzz b5OSHrZiP2AXuH5DIzjROKAjhFB0f2pjJ/fZYOVa9aPWlW8gTe/wD4KFSsCBy2HZ B37me9lsq1zMAy75wyuqRYVTBjMEub3z3DQ84tjVhdAMmEH8h0vni8Cpwr3mL3nv FD78yEuJxSTsBnSxE1Rr0u6r+G5vRfHJyLcGpJjg1jnE7eJs+TwnSfAJlT5FzjhI xjO7zD4SDlojFDn2Fid7hy0xdZ4wNwcNSo5O5xkBIMoF+RC7LaGs+8Cp+qfHHzRf xObbNNoeg0bV87d/F4cXzGJSeDpe4Ku1yyVBeYV0Bm9eUlxasmbOjqJFkwL8OY4P 3EZiNQSwjNZp0B0Er9tjkNtdZXuNnTNeMilihFveVaXnK21Pqc3lcLBbNu6Zfc6m Tg8HkSFD1dxyyIVWGPtKbnP7tw/VhAs77KsJVQGEFoNIFYrPAoSu/swzB54eiRQc WSwqxT4p =ZvFN -----END PGP SIGNATURE-----