11 marca 2025 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa, aby rozwiązać problemy z lukami w wielu produktach. Zawierały one aktualizacje dla następujących produktów:
• SAP Commerce Cloud – wersje HY-COM 2205 i COM-CLOUD 2211
• SAP Commerce (Swagger UI) – wersja COM_CLOUD 2211
• SAP NetWeaver (ABAP Class Builder) – wiele wersji
| Notatka | Opis | Krytyczność | CVSS |
| 3569602 | [CVE-2025-27434] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP Commerce (Swagger UI) Produkt- SAP Commerce (Swagger UI), Wersja – COM_CLOUD 2211 | Wysoka | 8.8 |
| 3563927 | [CVE-2025-26661] Brak kontroli autoryzacji w SAP NetWeaver (ABAP Class Builder) Produkt- SAP NetWeaver (ABAP Class Builder), Wersje – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 914 | Wysoka | 8.8 |
| 3566851 | [CVE-2024-38286] Wiele luk w zabezpieczeniach Apache Tomcat w ramach SAP Commerce Cloud Powiązane CVE – CVE-2024-52316 Produkt -SAP Commerce Cloud, Wersja -HY-COM 2205, COM-CLOUD 2211 | Wysoka | 8.6 |
| 3567974 | Aktualizacja notatki bezpieczeństwa opublikowana w lutym 2025 r. w ramach Patch Day: [CVE-2025-24876] Ominięcie uwierzytelniania poprzez wstrzyknięcie kodu autoryzacyjnego w SAP Approuter Biblioteka – @sap/approuter, Wersja – 2.6.1 to 16.7.1 | Wysoka | 8.1 |
| 3483344 | Aktualizacja notatki bezpieczeństwa opublikowana w lipcu 2024 r. w ramach Patch Day: [CVE-2024-39592] Brak kontroli autoryzacji w SAP PDCE Produkt – SAP PDCE, Wersja – S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108 | Wysoka | 7.7 |
| 3561045 | [CVE-2025-26658] Zerwane uwierzytelnianie w SAP Business One (warstwa usług) Produkt – SAP Business One (warstwa usług), Wersja – B1_ON_HANA 10.0, SAP-M-BO 10.0 | Średnia | 6.8 |
| 3552824 | [CVE-2025-26659] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP NetWeaver Application Server ABAP (aplikacje oparte na SAP GUI dla HTML) Produkt- SAP NetWeaver Application Server ABAP (aplikacje oparte na SAP GUI for HTML), Wersje – KRNL64UC 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.89, KERNEL 7.93, KERNEL 9.14 | Średnia | 6.1 |
| 3562390 | [CVE-2025-25242] Cross-Site Scripting (XSS) w SAP NetWeaver Application Server ABAP Produkt- SAP NetWeaver Application Server ABAP, Wersja – SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 914 | Średnia | 6.1 |
| 3552144 | [CVE-2025-25244] Brak kontroli autoryzacji w SAP Business Warehouse (łańcuchy procesów) Produkt – SAP Business Warehouse (Process Chains), Wersja – DW4CORE 100, DW4CORE 200, DW4CORE 300, DW4CORE 400, DW4CORE 914, SAP_BW 730, SAP_BW 731, SAP_BW 740, SAP_BW 750 | Średnia | 5.7 |
| 3567246 | [CVE-2025-27431] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP NetWeaver Application Server Java Produkt- SAP NetWeaver Application Server Java, Wersja – AJAX-RUNTIME 7.50 | Średnia | 5.4 |
| 3557469 | [CVE-2025-25245] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w platformie SAP BusinessObjects Business Intelligence (Web Intelligence) Produkt- SAP BusinessObjects Business Intelligence Platform (Web Intelligence), Wersja – ENTERPRISE 430, 2025 | Średnia | 5.4 |
| 3561792 | [CVE-2025-23194] Brak kontroli uwierzytelniania w SAP NetWeaver Enterprise Portal (komponent OBN) Produkt- SAP NetWeaver Enterprise Portal (OBN component), Wersja – EP-RUNTIME 7.50 | Średnia | 5.3 |
| 3558132 | [CVE-2025-0071] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP Web Dispatcher i Internet Communication Manager Produkt- SAP Web Dispatcher and Internet Communication Manager, Wersja – KRNL64UC 7.53, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.89, WEBDISP 7.93, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, KERNEL 7.89, KERNEL 7.93, KERNEL 9.14 | Średnia | 4.9 |
| 3557459 | [CVE-2025-0062] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w platformie SAP BusinessObjects Business Intelligence (Web Intelligence) Produkt- SAP BusinessObjects Business Intelligence Platform, Wersja – ENTERPRISE 430, 2025, ENTERPRISECLIENTTOOLS 430, 2025 | Średnia | 4.7 |
| 3565835 | [CVE-2025-27433] Złamane luki w zabezpieczeniach kontroli dostępu w SAP S/4HANA (Zarządzanie wyciągami bankowymi) Powiązane CVE – CVE-2025-27436 Produkt- SAP S/4HANA (Manage Bank Statements), Wersje – S4CORE 107, S4CORE 108 | Średnia | 4.3 |
| 3557131 | [CVE-2025-23188] Brak kontroli autoryzacji w SAP S/4HANA (RBD) Produkt- SAP S/4HANA (RBD), Wersje – S4CORE 102, 103, 104, 105, 106, 107, 108, EA-FINSERV 618, EA-FINSERV 800 | Średnia | 4.3 |
| 3557655 | [CVE-2025-26660] Złamana kontrola dostępu w aplikacjach SAP Fiori (Biblioteka księgowań) Produkt- SAP Fiori apps (Biblioteka księgowań), Wersja – S4CORE 103, 104, 105, 106, 107, 108 | Średnia | 4.3 |
| 3474392 | [CVE-2025-26656] Brak kontroli autoryzacji w S/4HANA (Zarządzanie rekordami informacji o zakupach) Produkt – SAP Just In Time, Wersja – S4CORE 105, 106, 107, 108 | Średnia | 4.3 |
| 3475427 | Aktualizacja notatki bezpieczeństwa opublikowana w sierpniu 2024 r. w ramach Patch Day: [CVE-2024-41736] Luka w zabezpieczeniach ujawniania informacji w SAP Permit to Work Produkt – SAP Permit to Work, Wersja – UIS4HOP1 800, 900 | Średnia | 4.3 |
| 3549494 | [CVE-2025-23185] Ujawnianie informacji w platformie SAP Business Objects Business Intelligence Produkt – SAP Business Objects Business Intelligence Platform, Wersja – ENTERPRISE 430, 2025, 2027 | Średnia | 4.1 |
| 3562415 | [CVE-2024-38819] Wiele luk w Spring Framework w SAP Commerce Cloud i SAP Datahub Powiązane CVE – CVE-2024-38820 Produkt -SAP Commerce Cloud and SAP Datahub, , Wersja -HY_COM 2205, HY_DHUB 2205, COM_CLOUD 2211, DHUB_CLOUD 2211 | Niska | 3.7 |
| 3561861 | [CVE-2025-27430] Fałszowanie żądań po stronie serwera (SSRF) w SAP CRM i SAP S/4 HANA (Interaction Center) Produkt – SAP CRM and SAP S/4HANA (Interaction Center), Wersje – S4CRM 100, 200, 204, 205, 206, S4FND 102, 103, 104, 105, 106, 107, 108, S4CEXT 107, 108, BBPCRM 701, 702, 712, 713, 714, WEBCUIF 701, 731, 746, 747, 748, 800, 801 | Niska | 3.5 |
| 3347991 | [CVE-2025-26655] Brak kontroli autoryzacji w SAP JIT (wychodzące) Produkt – SAP Just In Time, Version – S4CORE 102, 103, 104, 105, 106, 107, ECC-DIMP 618 | Niska | 3.1 |
| 3568865 | [CVE-2025-27432] Brak kontroli autoryzacji w SAP Electronic Invoicing dla Brazylii (eDocument Cockpit) Produkt – SAP Electronic Invoicing for Brazil (eDocument Cockpit), Wersja – SAP_APPL 617, 618, S4CORE 102, 103, 104, 105, 106, 107, 108 | Niska | 2.4 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny