Kwetsbaarheden verholpen in SAP Producten

Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
Publicatie Kans Schade    
  Versie 1.00 10-06-2025 NCSC-2025-0186  
 
medium
high
 Signed-PGP →
CSAF →
PDF →
  
10-06-2025
medium
high
 NCSC-2025-0186 [1.00] Signed-PGP →
Text, CSAF (sig), PDF
Kenmerken

Kenmerken
  • Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
  • Free of Memory not on the Heap
  • Missing Authorization
  • Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
  • Server-Side Request Forgery (SSRF)
  • Origin Validation Error
Omschrijving

Omschrijving

SAP heeft kwetsbaarheden verholpen in diverse SAP producten als HANA, Business Objects en Netweaver. De kwetsbaarheden omvatten een gebrek aan autorisatiecontroles, waardoor aanvallers functies zonder beperkingen kunnen uitvoeren. Dit kan leiden tot ongeautoriseerde acties binnen de applicatie, wat de integriteit en vertrouwelijkheid in gevaar kan brengen. Daarnaast zijn er kwetsbaarheden die het mogelijk maken voor geauthenticeerde gebruikers om hun privileges te escaleren, wat kan resulteren in een significante compromittering van de applicatie. De aanwezigheid van Cross-Site Scripting (XSS) kwetsbaarheden stelt aanvallers in staat om kwaadaardige scripts op te slaan, wat de vertrouwelijkheid van gevoelige sessie-informatie in gevaar kan brengen. De noodzaak voor verbeterde beveiligingsmaatregelen en strikte toegangcontroles is duidelijk.
Bereik

Bereik
Platforms Producten Versies

SAP Business Objects Business Intelligence Platform
SAP Business One Integration Framework
SAP Business Warehouse and Plug-In Basis
SAP BusinessObjects Business Intelligence
SAP MDM Server
SAP NetWeaver
SAP NetWeaver Application Server for ABAP
SAP NetWeaver Visual Composer
SAP SAP GRC (AC Plugin)
SAP SAP NetWeaver (ABAP Keyword Documentation)
SAP SAP S/4HANA (Enterprise Event Enablement)
SAP SAP S/4HANA (Manage Central Purchase Contract application) SAP SAP S/4HANA (Manage Processing Rules - For Bank Statement) SAP SAPUI5 applications

758 - 7.89 - 7.93 - 9.14 - 9.15 - grcpinwv1100_700 - v1100_731 - sap_bw 750 - pi_basis 2006_1_700 - 915 - 914 - 758 - 757 - 756 - 755 - 754 - 753 - 752 - 751 - 740 - 731 - 702 - 701 - 2027 - 2025 - enterprise 430 - 7.50 - 710.750 - 758 - sap_basis758 - 107 - 108 - s4core106 - b1_on_hana 10.0 - sap-m-bo 10.0 - 105 - 106 - 107 - 108 - s4core104 - 2025 - 2027 - enterprise 430 - 754 - 755 - 756 - 757 - 758
Oplossingen

Oplossingen

SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. [Link]
CVE’s

CVE’s

CVE-2025-23192, CVE-2025-31325, CVE-2025-42977, CVE-2025-42982, CVE-2025-42983, CVE-2025-42984, CVE-2025-42987, CVE-2025-42988, CVE-2025-42989, CVE-2025-42990, CVE-2025-42991, CVE-2025-42993, CVE-2025-42994, CVE-2025-42998
  Versie 1.00 10-06-2025 NCSC-2025-0186  
 
medium
high
 Signed-PGP →
CSAF →
PDF →
  
10-06-2025
medium
high
 NCSC-2025-0186 [1.00] Signed-PGP →
Text, CSAF (sig), PDF

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.