-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in SAP software
Advisory ID : NCSC-2025-0076
Versie : 1.00
Kans : medium
CVE ID : CVE-2024-38286, CVE-2024-38819, CVE-2024-39592,
CVE-2024-41736, CVE-2025-0062, CVE-2025-0071,
CVE-2025-23185, CVE-2025-23188, CVE-2025-23194,
CVE-2025-24876, CVE-2025-25242, CVE-2025-25244,
CVE-2025-25245, CVE-2025-26655, CVE-2025-26656,
CVE-2025-26658, CVE-2025-26659, CVE-2025-26660,
CVE-2025-26661, CVE-2025-27430, CVE-2025-27431,
CVE-2025-27432, CVE-2025-27433, CVE-2025-27434
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
URL Redirection to Untrusted Site ('Open Redirect')
Missing Authentication for Critical Function
Allocation of Resources Without Limits or Throttling
Uncontrolled Resource Consumption
Exposure of Sensitive Information to an Unauthorized
Actor
Missing Authorization
Insertion of Sensitive Information into Log File
Generation of Error Message Containing Sensitive
Information
Improper Validation of Specified Type of Input
Improper Neutralization of Input During Web Page
Generation ('Cross-site Scripting')
Session Fixation
Improper Limitation of a Pathname to a Restricted
Directory ('Path Traversal')
Authorization Bypass Through User-Controlled Key
Server-Side Request Forgery (SSRF)
Authentication Bypass by Assumed-Immutable Data
Uitgiftedatum : 20250311
Toepassing : SAP SAP Software
SAP_SE S/4HANA (Manage Purchasing Info Records)
SAP_SE SAP Approuter Node.js package
SAP_SE SAP Business Objects Business Intelligence
Platform
SAP_SE SAP Business One (Service Layer)
SAP_SE SAP Business Warehouse (Process Chains)
SAP_SE SAP BusinessObjects Business Intelligence
Platform
SAP_SE SAP BusinessObjects Business Intelligence
Platform (Web Intelligence)
SAP_SE SAP CRM and SAP S/4HANA (Interaction Center)
SAP_SE SAP Commerce (Swagger UI)
SAP_SE SAP Electronic Invoicing for Brazil (eDocument
Cockpit)
SAP_SE SAP Fiori apps (Posting Library)
SAP_SE SAP Just In Time
SAP_SE SAP NetWeaver (ABAP Class Builder)
SAP_SE SAP NetWeaver Application Server ABAP
SAP_SE SAP S/4HANA (Manage Bank Statements)
SAP_SE SAP S/4HANA (RBD)
SAP_SE SAP Web Dispatcher and Internet Communication
Manager
Versie(s) :
Platform(s) :
Beschrijving
SAP heeft meerdere kwetsbaarheden verholpen in zijn
softwarecomponenten, waaronder SAP Commerce, SAP NetWeaver, en SAP
BusinessObjects.
De kwetsbaarheden omvatten onder andere Cross-Site Scripting (XSS) en
ontbrekende autorisatiecontroles, die aanvallers in staat stellen om
ongeautoriseerde toegang te verkrijgen, gegevens te manipuleren en
gevoelige informatie te onthullen. Deze kwetsbaarheden kunnen leiden
tot ernstige gevolgen voor de integriteit en vertrouwelijkheid van de
gegevens binnen de getroffen systemen. Specifieke kwetsbaarheden zijn
onder andere het ontbreken van essentiƫle autorisatiecontroles in SAP
NetWeaver en de mogelijkheid voor aanvallers om sessies te stelen via
de SAP Approuter Node.js package.
Mogelijke oplossingen
SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen,
waaronder 21 beveiligingspatches voor de SAP Approuter en andere
kritieke kwetsbaarheden. Zie bijgevoegde referenties voor meer
informatie.
Referenties:
Source - sap
https://support.sap.com/en/my-support/knowledge-base/security-
notes-news/march-2025.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=Iikc
-----END PGP SIGNATURE-----
