Kwetsbaarheden verholpen in SAP software

Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
Publicatie Kans Schade    
  Versie 1.00 gisteren NCSC-2025-0076  
 
medium
high
 Signed-PGP →
CSAF →
PDF →
  
gisteren
medium
high
 NCSC-2025-0076 [1.00] Signed-PGP →
Text, CSAF (sig), PDF
Kenmerken

Kenmerken
  • URL Redirection to Untrusted Site ('Open Redirect')
  • Missing Authentication for Critical Function
  • Allocation of Resources Without Limits or Throttling
  • Uncontrolled Resource Consumption
  • Exposure of Sensitive Information to an Unauthorized Actor
  • Missing Authorization
  • Insertion of Sensitive Information into Log File
  • Generation of Error Message Containing Sensitive Information
  • Improper Validation of Specified Type of Input
  • Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
  • Session Fixation
  • Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
  • Authorization Bypass Through User-Controlled Key
  • Server-Side Request Forgery (SSRF)
  • Authentication Bypass by Assumed-Immutable Data
Omschrijving

Omschrijving

SAP heeft meerdere kwetsbaarheden verholpen in zijn softwarecomponenten, waaronder SAP Commerce, SAP NetWeaver, en SAP BusinessObjects. De kwetsbaarheden omvatten onder andere Cross-Site Scripting (XSS) en ontbrekende autorisatiecontroles, die aanvallers in staat stellen om ongeautoriseerde toegang te verkrijgen, gegevens te manipuleren en gevoelige informatie te onthullen. Deze kwetsbaarheden kunnen leiden tot ernstige gevolgen voor de integriteit en vertrouwelijkheid van de gegevens binnen de getroffen systemen. Specifieke kwetsbaarheden zijn onder andere het ontbreken van essentiële autorisatiecontroles in SAP NetWeaver en de mogelijkheid voor aanvallers om sessies te stelen via de SAP Approuter Node.js package.
Bereik

Bereik
Platforms Producten Versies

SAP SAP Software
SAP_SE S/4HANA (Manage Purchasing Info Records)
SAP_SE SAP Approuter Node.js package
SAP_SE SAP Business Objects Business Intelligence Platform SAP_SE SAP Business One (Service Layer) SAP_SE SAP Business Warehouse (Process Chains) SAP_SE SAP BusinessObjects Business Intelligence Platform SAP_SE SAP BusinessObjects Business Intelligence Platform (Web Intelligence) SAP_SE SAP CRM and SAP S/4HANA (Interaction Center) SAP_SE SAP Commerce (Swagger UI) SAP_SE SAP Electronic Invoicing for Brazil (eDocument Cockpit) SAP_SE SAP Fiori apps (Posting Library) SAP_SE SAP Just In Time SAP_SE SAP NetWeaver (ABAP Class Builder) SAP_SE SAP NetWeaver Application Server ABAP SAP_SE SAP S/4HANA (Manage Bank Statements) SAP_SE SAP S/4HANA (RBD) SAP_SE SAP Web Dispatcher and Internet Communication Manager

com_cloud2211 - sap_basis700 - sap_basis701 - sap_basis702 - sap_basis731 - sap_basis740 - sap_basis750 - sap_basis751 - sap_basis752 - sap_basis753 - sap_basis754 - sap_basis755 - sap_basis756 - sap_basis757 - sap_basis758 - sap_basis914 - 2.6.1to16.7.1 - b1_on_hana10.0 - sap-m-bo10.0 - dw4core100 - sap_bw730 - 200 - 300 - 400 - 731 - 740 - 750 - 751 - 752 - 753 - 754 - 755 - 756 - 757 - 758 - 914 - 7.54 - 7.77 - 7.89 - 7.93 - 9.14 - kernel7.53 - krnl64uc7.53 - webdisp7.53 - 2025 - enterprise430 - 108 - s4core107 - 103 - 104 - 105 - 106 - 107 - 108 - ea-finserv618 - ea-finserv800 - s4core102 - 104 - 105 - 106 - 107 - 108 - s4core103 - 106 - 107 - 108 - s4core105 - 2025 - 2027 - enterprise430 - 2025 - enterprise430 - enterpriseclienttools430 - 103 - 104 - 105 - 106 - 107 - 108 - 200 - 204 - 205 - 206 - 702 - 712 - 713 - 714 - 731 - 746 - 747 - 748 - 800 - 801 - bbpcrm701 - s4cext107 - s4crm100 - s4fnd102 - webcuif701 - 103 - 104 - 105 - 106 - 107 - 108 - 618 - s4core102 - sap_appl617 - 103 - 104 - 105 - 106 - 107 - ecc-dimp618 - s4core102 - sap_basis740 - sap_basis750 - sap_basis751 - sap_basis752
Oplossingen

Oplossingen

SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen, waaronder 21 beveiligingspatches voor de SAP Approuter en andere kritieke kwetsbaarheden. Zie bijgevoegde referenties voor meer informatie. [Link]
CVE’s

CVE’s

CVE-2024-38286, CVE-2024-38819, CVE-2024-39592, CVE-2024-41736, CVE-2025-0062, CVE-2025-0071, CVE-2025-23185, CVE-2025-23188, CVE-2025-23194, CVE-2025-24876, CVE-2025-25242, CVE-2025-25244, CVE-2025-25245, CVE-2025-26655, CVE-2025-26656, CVE-2025-26658, CVE-2025-26659, CVE-2025-26660, CVE-2025-26661, CVE-2025-27430, CVE-2025-27431, CVE-2025-27432, CVE-2025-27433, CVE-2025-27434
  Versie 1.00 gisteren NCSC-2025-0076  
 
medium
high
 Signed-PGP →
CSAF →
PDF →
  
gisteren
medium
high
 NCSC-2025-0076 [1.00] Signed-PGP →
Text, CSAF (sig), PDF

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.