13 maja 2025 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa, mające na celu usunięcie luk w zabezpieczeniach wielu produktów. Zawarto aktualizacje dla następujących elementów:
- SAP Business Objects Business Intelligence Platform (PMW) – wersje ENTERPRISE 430, 2025 i 2027
- SAP Landscape Transformation (PCL Basis) – wersje DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020, S4CORE 102, 103, 104, 105, 106, 107 i 108
- SAP NetWeaver (serwer programistyczny Visual Composer) – wersja VCFRAMEWORK 7.50
- SAP Supplier Relationship Management (Live Auction Cockpit) – wersja SRM_SERVER 7.14
- SAP S/4HANA S4CORE Cloud Private Edition lub on Premise (SCM Master Data Layer (MDL)) – wersje S4CORE 102, 103, 104, 105, 106, 107, 108, SCM_BASIS 700, 701, 702, 712, 713 i 714
| link | Opis | CVSS |
| 3594142 | [CVE-2025-31324] Brak kontroli autoryzacji w SAP NetWeaver (serwer programistyczny Visual Composer) Komponenty: EP-VC-INF Kategoria: Błąd programu | 10.0 |
| 3587115 | [CVE-2025-31330] Luka w zabezpieczeniach umożliwiająca wstrzykiwanie kodu w SAP Landscape Transformation (Analysis Platform) Komponenty: CA-LT-ANA Kategoria: Błąd programu | 9.9 |
| 3581961 | [CVE-2025-27429] Luka w zabezpieczeniach umożliwiająca wstrzykiwanie kodu w SAP S/4HANA (chmura prywatna lub lokalna) Komponenty: CA-LT-ANA Kategoria: Błąd programu | 9.9 |
| 3604119 | [CVE-2025-42999] Niebezpieczna deserializacja w SAP NetWeaver (serwer programistyczny Visual Composer) Komponenty: EP-VC-INF Kategoria: Błąd programu | 9.1 |
| 3578900 | [CVE-2025-30018] Wiele luk w zabezpieczeniach SAP Supplier Relationship Management (Live Auction Cockpit) Komponenty: SRM-LA Kategoria: Błąd programu | 8.6 |
| 3600859 | [CVE-2025-43010] Luka w zabezpieczeniach umożliwiająca wstrzykiwanie kodu w SAP S/4HANA Cloud Private Edition lub On Premise (SCM Master Data Layer (MDL)) Komponenty: SCM-BAS-MDL Kategoria: Błąd programu | 8.3 |
| 3586013 | [CVE-2025-43000] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP Business Objects Business Intelligence Platform (PMW) Komponenty: BI-BIP-LCM Kategoria: Błąd programu | 7.9 |
| 3483344 | [CVE-2024-39592] Brak kontroli autoryzacji w SAP PDCE Komponenty: FIN-BA Kategoria: Błąd programu | 7.7 |
| 3591978 | [CVE-2025-43011] Brak kontroli autoryzacji w SAP Landscape Transformation (PCL Basis) Komponenty: CA-LT-PCL Kategoria: Błąd programu | 7.7 |
| 3577300 | [CVE-2025-42997] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP Gateway Client Komponenty: OPU-GW-V4 Kategoria: Błąd programu | 6.6 |
| 3596033 | [CVE-2025-43003] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP S/4HANA (chmura prywatna i lokalna) Komponenty: CRM-MD-BP Kategoria: Błąd programu | 6.4 |
| 2491817 | [CVE-2025-43009] Brak kontroli autoryzacji w SAP Service Parts Management (SPM) Komponenty: LO-SPM-OUT Kategoria: Błąd programu | 6.3 |
| 2719724 | [CVE-2025-43007] Brak kontroli autoryzacji w SAP Service Parts Management (SPM) Komponenty: LO-SPM-X Kategoria: Błąd programu | 6.3 |
| 3577287 | [CVE-2025-31329] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver Application Server ABAP i ABAP Platform Komponenty: BC-MID-RFC Kategoria: Błąd programu | 6.2 |
| 3588455 | [CVE-2025-43006] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP Supplier Relationship Management (Master Data Management Catalog) Komponenty: SRM-CAT-MDM Kategoria: Błąd programu | 6.1 |
| 3585992 | [CVE-2025-43008] Brak kontroli autoryzacji w SAP S/4HANA HCM Portugal i SAP ERP HCM Portugal Komponenty: PY-PT Kategoria: Błąd programu | 5.8 |
| 3571096 | [CVE-2025-43004] Luka w zabezpieczeniach związana z błędną konfiguracją w SAP Digital Manufacturing (panel operatora produkcji) Komponenty: MFG-DM Kategoria: Dostosowywanie | 5.3 |
| 3446649 | [CVE-2025-31328] Luka w zabezpieczeniach Cross-Site Request Forgery (CSRF) w SAP S/4 HANA (Learning Solution) Komponenty: PA-FIO-LSO Kategoria: Błąd programu | 4.6 |
| 3558755 | [CVE-2025-26662] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP Data Services Management Console Komponenty: EIM-DS-SVR Kategoria: Zaawansowany rozwój | 4.4 |
| 3574520 | [CVE-2025-43005] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w interfejsie graficznym SAP dla systemu Windows Komponenty: BC-FES-GXT Kategoria: Błąd programu | 4.3 |
| 3227940 | [CVE-2025-43002] Brak kontroli autoryzacji w SAP S4/HANA (właściwość metadanych OData) Komponenty: MM-PUR-SVC-SES Kategoria: Błąd programu | 4.3 |
| 3359825 | [CVE-2025-31327] Manipulacja encją właściwości metadanych OData w SAP Field Logistics Komponenty: CA-FL-SRV Kategoria: Błąd programu | 4.3 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny