Kwetsbaarheden verholpen in SAP producten

Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierbij kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
Publicatie Kans Schade    
  Versie 1.00 gisteren NCSC-2025-0219  
 
medium
high
Signed-PGP →
CSAF →
PDF →
 
gisteren
medium
high
NCSC-2025-0219 [1.00] Signed-PGP →
Text, CSAF (sig), PDF
Kenmerken

Kenmerken

  • Improper Control of Generation of Code ('Code Injection')
  • URL Redirection to Untrusted Site ('Open Redirect')
  • Deserialization of Untrusted Data
  • Missing Authorization
  • Improper Verification of Source of a Communication Channel
  • Server-Side Request Forgery (SSRF)
  • Loop with Unreachable Exit Condition ('Infinite Loop')
  • Out-of-bounds Write
  • Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
  • Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)
  • Insecure Storage of Sensitive Information
  • Unrestricted Upload of File with Dangerous Type
  • Incorrect Privilege Assignment
  • Use of Single-factor Authentication
  • Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
  • Files or Directories Accessible to External Parties
Omschrijving

Omschrijving

SAP heeft kwetsbaarheden verholpen in verschillende producten, waaronder SAP S/4HANA, SAP SCM, en SAP NetWeaver. De kwetsbaarheden omvatten onder andere remote code execution, code injectie, en insecure deserialization, die door aanvallers met gebruikersprivileges kunnen worden misbruikt om schadelijke code te creëren of uit te voeren. Dit kan leiden tot ernstige bedreigingen voor de vertrouwelijkheid, integriteit en beschikbaarheid van de getroffen systemen. Specifieke kwetsbaarheden zoals een replay-aanval en privilege-escalatie zijn ook geïdentificeerd, wat de noodzaak benadrukt voor strikte autorisatiecontroles en monitoring van de systemen. De impact varieert van ongeautoriseerde toegang tot gegevens tot volledige systeemcompromittering.

Bereik

Bereik

Platforms Producten Versies

SAP Business Warehouse and Plug-In Basis
SAP Business Warehouse, BW-4HANA BEx Tools
SAP BusinessObjects Content Administrator workbench
SAP NetWeaver ABAP Server, ABAP Platform
SAP NetWeaver Business Warehouse
SAP NetWeaver Enterprise Portal Administration
SAP NetWeaver Enterprise Portal Federated Portal Network SAP S4HANA, SCM SAP SAP Business Warehouse (Business Explorer Web 3.5 loading animation) SAP SAP Business Warehouse and SAP BW/4HANA BEx Tools SAP SAP BusinessObjects Business Intelligence Platform (Web Intelligence) SAP SAP BusinessObjects Content Administrator workbench SAP SAP Data Services (DQ Report) SAP SAP GUI for Windows SAP SAP NetWeaver (XML Data Archiving Service) SAP SAP NetWeaver Application Server Java SAP SAP NetWeaver Application Server for Java (Log Viewer ) SAP SAP NetWeaver and ABAP Platform (SDCCN) SAP SAP S/4HANA and SAP SCM (Characteristic Propagation) SAP SAPCAR SAP businessobjects_content_administrator_workbench SAP s/4hana SAP scm

scmapo713 - 103 - 104 - 106 - 107 - 108 - 701 - 702 - 712 - 714 - s4core102 - s4coreop105 - scm700 - 4core 102 - 103 - 104 - 106 - 107 - 108 - 4coreop 105 - 701 - 702 - 712 - 714 - cm 700 - cmapo 713 - 200 - 300 - 400 - 701 - 702 - 731 - 740 - 750 - 751 - 752 - 753 - 754 - 755 - 756 - 757 - 758 - 816 - dw4core 100 - sap_bw 700 - sap_bw_virtual_comp 701 - 200 - 300 - 400 - 701 - 702 - 731 - 740 - 750 - 751 - 752 - 753 - 754 - 755 - 756 - 757 - 758 - 816 - dw4core100 - sap_bw700 - sap_bw_virtual_comp701 - 103 - 104 - 106 - 107 - 108 - 4core_102 - 4coreop_105 - 701 - 702 - 712 - 714 - cm_700 - cmapo_713 - 103 - 104 - 106 - 107 - 108 - 4core_102 - 4coreop_105 - 701 - 702 - 712 - 714 - cm_700 - cmapo_713 - 7.50 - 7.50 - j2ee-apps7.50 - lmnwabasicapps7.50 - sap_basis 700 - sap_basis 701 - sap_basis 702 - sap_basis 731 - sap_basis 740 - sap_basis 750 - sap_basis 751 - sap_basis 752 - sap_basis 753 - sap_basis 754 - sap_basis 755 - sap_basis 756 - sap_basis 757 - sap_basis 758 - sap_basis 914 - sap_basis 915 - 2027 - enterprise430 - enterpriseclienttools430 - 200 - 300 - 400 - 701 - 702 - 731 - 740 - 750 - 751 - 752 - 753 - 754 - 755 - 756 - 757 - 758 - 816 - 701 - 702 - 731 - 740 - 750 - 751 - 752 - 753 - 754 - 755 - 756 - 758 - 757 - 816 - 7.22ext - sap_ 7.53 - sap_car7.53 - dw4core100 - sap_bw730 - dw4core 100 - sap_bw 700 - sap_bw_virtual_comp 701 - dw4core_100 - dw4core100 - bc-fes-gui8.00 - sbop_ds_management_console4.3 - st-pi2008_1_700 - engineapi7.50

Oplossingen

Oplossingen

SAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. [Link]

CVE’s

CVE’s

CVE-2024-53677, CVE-2025-31326, CVE-2025-42952, CVE-2025-42953, CVE-2025-42954, CVE-2025-42959, CVE-2025-42960, CVE-2025-42961, CVE-2025-42962, CVE-2025-42963, CVE-2025-42964, CVE-2025-42965, CVE-2025-42966, CVE-2025-42967, CVE-2025-42968, CVE-2025-42969, CVE-2025-42970, CVE-2025-42971, CVE-2025-42973, CVE-2025-42974, CVE-2025-42978, CVE-2025-42979, CVE-2025-42980, CVE-2025-42981, CVE-2025-42985, CVE-2025-42986, CVE-2025-43001

  Versie 1.00 gisteren NCSC-2025-0219  
 
medium
high
Signed-PGP →
CSAF →
PDF →
 
gisteren
medium
high
NCSC-2025-0219 [1.00] Signed-PGP →
Text, CSAF (sig), PDF

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.