NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in SAP Producten
Advisory ID     : NCSC-2025-0186
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2025-23192, CVE-2025-31325, CVE-2025-42977,
                  CVE-2025-42982, CVE-2025-42983, CVE-2025-42984,
                  CVE-2025-42987, CVE-2025-42988, CVE-2025-42989,
                  CVE-2025-42990, CVE-2025-42991, CVE-2025-42993,
                  CVE-2025-42994, CVE-2025-42998
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Limitation of a Pathname to a Restricted
                  Directory ('Path Traversal')
                  Free of Memory not on the Heap
                  Missing Authorization
                  Improper Neutralization of Input During Web Page
                  Generation ('Cross-site Scripting')
                  Server-Side Request Forgery (SSRF)
                  Origin Validation Error
Uitgiftedatum   : 20250610
Toepassing      : SAP Business Objects Business Intelligence Platform
                  SAP Business One Integration Framework
                  SAP Business Warehouse and Plug-In Basis
                  SAP BusinessObjects Business Intelligence
                  SAP MDM Server
                  SAP NetWeaver
                  SAP NetWeaver Application Server for ABAP
                  SAP NetWeaver Visual Composer
                  SAP SAP GRC (AC Plugin)
                  SAP SAP NetWeaver (ABAP Keyword Documentation)
                  SAP SAP S/4HANA (Enterprise Event Enablement)
                  SAP SAP S/4HANA (Manage Central Purchase Contract
                  application)
                  SAP SAP S/4HANA (Manage Processing Rules - For Bank
                  Statement)
                  SAP SAPUI5 applications
Versie(s)       :
Platform(s)     :

Beschrijving
   SAP heeft kwetsbaarheden verholpen in diverse SAP producten als HANA,
   Business Objects en Netweaver.

   De kwetsbaarheden omvatten een gebrek aan autorisatiecontroles,
   waardoor aanvallers functies zonder beperkingen kunnen uitvoeren. Dit
   kan leiden tot ongeautoriseerde acties binnen de applicatie, wat de
   integriteit en vertrouwelijkheid in gevaar kan brengen. Daarnaast
   zijn er kwetsbaarheden die het mogelijk maken voor geauthenticeerde
   gebruikers om hun privileges te escaleren, wat kan resulteren in een
   significante compromittering van de applicatie. De aanwezigheid van
   Cross-Site Scripting (XSS) kwetsbaarheden stelt aanvallers in staat
   om kwaadaardige scripts op te slaan, wat de vertrouwelijkheid van
   gevoelige sessie-informatie in gevaar kan brengen. De noodzaak voor
   verbeterde beveiligingsmaatregelen en strikte toegangcontroles is
   duidelijk.

Mogelijke oplossingen
   SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie
   bijgevoegde referenties voor meer informatie.

   Referenties:
      Source - sap
      https://support.sap.com/en/my-support/knowledge-base/security-
      notes-news/june-2025.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=/ODJ
-----END PGP SIGNATURE-----