9 września 2025 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa w celu usunięcia luk w zabezpieczeniach wielu produktów. Firma SAP opublikowała 25 notatek bezpieczeństwa (w tym aktualizacje istniejących notatek).
W tym miesiącu, podczas SAP Security Patch Day, opublikowano cztery notatki HotNews:
Notatka 3634501 dotyczy kolejnej luki w zabezpieczeniach deserializacji w stosie SAP NetWeaver Java.
Zgodnie z notatką, protokół ten jest podatny na ataki i może zostać wykorzystany do wykonywania dowolnych poleceń systemu operacyjnego — bez uwierzytelniania, co uzasadnia jego maksymalną ocenę CVSS wynoszącą 10.
Notatka 3643865 wskazuje na lukę w zabezpieczeniach usługi Deploy Web Service w stosie SAP NetWeaver Java. Umożliwia ona przesyłanie dowolnych plików na serwer, co może prowadzić do całkowitego naruszenia bezpieczeństwa systemu. Każdy użytkownik bez uprawnień administratora może wykorzystać tę lukę.
Notatka 3302162 to starsza notatka HotNews (z 2023 r.), która została ponownie opublikowana z zaktualizowanymi instrukcjami dotyczącymi poprawek. Jeśli Twój system jest zgodny z odpowiednią wersją, upewnij się, że ponownie sprawdziłeś i zastosowałeś zaktualizowane poprawki.
Notatka 3627373 dotyczy tylko systemów ABAP działających na platformie IBM-i, w których wiele instancji systemu (SID) współdzieli tę samą partycję LPAR.
Notatka | Opis | Krytyczność | CVSS |
3634501 | [CVE-2025-42944] Luka w zabezpieczeniach deserializacji w SAP Netweaver (RMI-P4) Komponenty: BC-JAS-COR-RMT Kategoria: Błąd programu | Krytyczna | 10.0 |
3643865 | [CVE-2025-42922] Luka w zabezpieczeniach operacji na plikach w SAP NetWeaver AS Java (Deploy Web Service) Komponenty: BC-JAS-DPL Kategoria: Błąd programu | Krytyczna | 9.9 |
3302162 | [CVE-2023-27500] Luka w zabezpieczeniach związana z przemierzaniem katalogów w SAP NetWeaver AS dla ABAP i platformie ABAP Komponenty: BC-DOC-RIT Kategoria: Błąd programu | Krytyczna | 9.6 |
3627373 | [CVE-2025-42958] Brak weryfikacji uwierzytelnienia w SAP NetWeaver Komponenty: BC-OP-AS4 Kategoria: Błąd programu | Krytyczna | 9.1 |
3642961 | [CVE-2025-42933] Niebezpieczne przechowywanie poufnych informacji w SAP Business One (SLD) Komponenty: SBO-BC-SLD Kategoria: Błąd programu | Wysoka | 8.8 |
3635475 | [CVE-2025-42916] Luka w zabezpieczeniach związana z brakiem walidacji danych wejściowych w SAP S/4HANA (chmura prywatna lub lokalna) Komponenty: CA-DT-CNV-BAS Kategoria: Błąd programu | Wysoka | 8.1 |
3633002 | [CVE-2025-42929] Luka w zabezpieczeniach związana z brakiem walidacji danych wejściowych w SAP Landscape Transformation Replication Server Komponenty: CA-LT-OBT Kategoria: Błąd programu | Wysoka | 8.1 |
3581811 | [CVE-2025-27428] Luka w zabezpieczeniach związana z przemierzaniem katalogów w SAP NetWeaver i platformie ABAP (zbieranie danych usług) Komponenty: SV-SMG-SDD Kategoria: Błąd programu | Wysoka | 7.7 |
3620264 | [CVE-2025-22228] Luka w zabezpieczeniach Spring związana z błędną konfiguracją w SAP Commerce Cloud i SAP Datahub Komponenty: CEC-SCC-PLA-PL Kategoria: Błąd programu | Średnia | 6.6 |
3635587 | [CVE-2025-42912] Brak kontroli autoryzacji w SAP HCM (aplikacja My Timesheet Fiori 2.0) Komponenty: PA-FIO-TS Kategoria: Błąd programu | Średnia | 6.5 |
3643832 | [CVE-2025-42917] Brak kontroli autoryzacji w SAP HCM (aplikacja Zatwierdzanie Arkuszy Czasu Pracy Fiori 2.0) Komponenty: PA-FIO-TS Kategoria: Błąd programu | Średnia | 6.5 |
3611420 | [CVE-2023-5072] Luka typu „odmowa usługi” (DoS) spowodowana przestarzałą biblioteką JSON używaną w platformie SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-INV Kategoria: Błąd programu | Średnia | 6.5 |
3614067 | [CVE-2025-42930] Luka typu „odmowa usługi” (DoS) w SAP Business Planning and Consolidation Komponenty: EPM-BPC-NW-SQE Kategoria: Błąd programu | Średnia | 6.5 |
3647098 | [CVE-2025-42920] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w systemie SAP Supplier Relationship Management Komponenty: SRM-EBP-TEC-ITS Kategoria: Błąd programu | Średnia | 6.1 |
3629325 | [CVE-2025-42938] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w platformie SAP NetWeaver ABAP Komponenty: CRM-BF-ML Kategoria: Błąd programu | Średnia | 6.1 |
3409013 | [CVE-2025-42915] Brak kontroli autoryzacji w aplikacji Fiori (Zarządzanie blokami płatności) Komponenty: FI-FIO-AP Kategoria: Błąd programu | Średnia | 5.4 |
3619465 | [CVE-2025-42926] Brak kontroli uwierzytelniania w SAP NetWeaver Application Server Java Komponenty: BC-WD-JAV K ategoria: Błąd programu | Średnia | 5.3 |
3627644 | [CVE-2025-42911] Brak kontroli autoryzacji w SAP NetWeaver (pobieranie danych serwisowych) Komponenty: SV-SMG-SDD Kategoria: Błąd programu | Średnia | 5.0 |
3610322 | [CVE-2025-42961] Brak kontroli autoryzacji w SAP NetWeaver Application Server dla ABAP Komponenty: BC-DB-DBI Kategoria: Błąd programu | Średnia | 4.9 |
3450692 | [CVE-2025-42923] Luka w zabezpieczeniach CSRF (cross-site request forgery) w aplikacji SAP Fiori (F4044 Zarządzanie grupami centrów roboczych) Komponenty: PP-BD-WKC Kategoria: Błąd programu | Średnia | 4.3 |
3623504 | [CVE-2025-42918] Brak kontroli autoryzacji w SAP NetWeaver Application Server dla ABAP (przetwarzanie w tle) Komponenty: BC-CCM-BTC Kategoria: Błąd programu | Średnia | 4.3 |
3640477 | [CVE-2025-42925] Luka w zabezpieczeniach Predictable Object Identifier w SAP NetWeaver AS Java (usługa IIOP) Komponenty: BC-JAS-COR-RMT Kategoria: Błąd programu | Średnia | 4.3 |
3624943 | [CVE-2025-42941] Luka w zabezpieczeniach Reverse Tabnabbing w SAP Fiori (Launchpad) Komponenty: CA-FLP-FE-COR Kategoria: Błąd programu | Niska | 3.5 |
3525295 | [CVE-2025-42927] Ujawnienie informacji z powodu nieaktualnej wersji OpenSSL w SAP NetWeaver AS Java (Adobe Document Service) Komponenty: BC-SRV-FP Kategoria: Informacje o planowaniu wydania | Niska | 3.4 |
3632154 | [CVE-2024-13009] Potencjalna luka w zabezpieczeniach SAP Commerce Cloud związana z nieprawidłowym udostępnianiem zasobów Komponenty: CEC-SCC-PLA-PL Kategoria: Błąd programu | Niska | 3.1 |