9 września 2025 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa w celu usunięcia luk w zabezpieczeniach wielu produktów. Firma SAP opublikowała 25 notatek bezpieczeństwa (w tym aktualizacje istniejących notatek).

W tym miesiącu, podczas SAP Security Patch Day, opublikowano cztery notatki HotNews:

Notatka 3634501 dotyczy kolejnej luki w zabezpieczeniach deserializacji w stosie SAP NetWeaver Java.

Zgodnie z notatką, protokół ten jest podatny na ataki i może zostać wykorzystany do wykonywania dowolnych poleceń systemu operacyjnego — bez uwierzytelniania, co uzasadnia jego maksymalną ocenę CVSS wynoszącą 10.

Notatka 3643865 wskazuje na lukę w zabezpieczeniach usługi Deploy Web Service w stosie SAP NetWeaver Java. Umożliwia ona przesyłanie dowolnych plików na serwer, co może prowadzić do całkowitego naruszenia bezpieczeństwa systemu. Każdy użytkownik bez uprawnień administratora może wykorzystać tę lukę.

Notatka 3302162 to starsza notatka HotNews (z 2023 r.), która została ponownie opublikowana z zaktualizowanymi instrukcjami dotyczącymi poprawek. Jeśli Twój system jest zgodny z odpowiednią wersją, upewnij się, że ponownie sprawdziłeś i zastosowałeś zaktualizowane poprawki.

Notatka 3627373 dotyczy tylko systemów ABAP działających na platformie IBM-i, w których wiele instancji systemu (SID) współdzieli tę samą partycję LPAR.

NotatkaOpisKrytycznośćCVSS
3634501[CVE-2025-42944] Luka w zabezpieczeniach deserializacji w SAP Netweaver (RMI-P4)
Komponenty: BC-JAS-COR-RMT
Kategoria: Błąd programu
Krytyczna10.0
3643865[CVE-2025-42922] Luka w zabezpieczeniach operacji na plikach w SAP NetWeaver AS Java (Deploy Web Service)
Komponenty: BC-JAS-DPL
Kategoria: Błąd programu
Krytyczna9.9
3302162[CVE-2023-27500] Luka w zabezpieczeniach związana z przemierzaniem katalogów w SAP NetWeaver AS dla ABAP i platformie ABAP
Komponenty: BC-DOC-RIT
Kategoria: Błąd programu
Krytyczna9.6
3627373[CVE-2025-42958] Brak weryfikacji uwierzytelnienia w SAP NetWeaver
Komponenty: BC-OP-AS4
Kategoria: Błąd programu
Krytyczna9.1
3642961[CVE-2025-42933] Niebezpieczne przechowywanie poufnych informacji w SAP Business One (SLD) Komponenty: SBO-BC-SLD
Kategoria: Błąd programu
Wysoka8.8
3635475[CVE-2025-42916] Luka w zabezpieczeniach związana z brakiem walidacji danych wejściowych w SAP S/4HANA (chmura prywatna lub lokalna)
Komponenty: CA-DT-CNV-BAS
Kategoria: Błąd programu
Wysoka8.1
3633002[CVE-2025-42929] Luka w zabezpieczeniach związana z brakiem walidacji danych wejściowych w SAP Landscape Transformation Replication Server
Komponenty: CA-LT-OBT
Kategoria: Błąd programu
Wysoka8.1
3581811[CVE-2025-27428] Luka w zabezpieczeniach związana z przemierzaniem katalogów w SAP NetWeaver i platformie ABAP (zbieranie danych usług)
Komponenty: SV-SMG-SDD
Kategoria: Błąd programu
Wysoka7.7
3620264[CVE-2025-22228] Luka w zabezpieczeniach Spring związana z błędną konfiguracją w SAP Commerce Cloud i SAP Datahub
Komponenty: CEC-SCC-PLA-PL
Kategoria: Błąd programu
Średnia6.6
3635587[CVE-2025-42912] Brak kontroli autoryzacji w SAP HCM (aplikacja My Timesheet Fiori 2.0)
Komponenty: PA-FIO-TS
Kategoria: Błąd programu
Średnia6.5
3643832[CVE-2025-42917] Brak kontroli autoryzacji w SAP HCM (aplikacja Zatwierdzanie Arkuszy Czasu Pracy Fiori 2.0)
Komponenty: PA-FIO-TS
Kategoria: Błąd programu
Średnia6.5
3611420[CVE-2023-5072] Luka typu „odmowa usługi” (DoS) spowodowana przestarzałą biblioteką JSON używaną w platformie SAP BusinessObjects Business Intelligence
Komponenty: BI-BIP-INV
Kategoria: Błąd programu
Średnia6.5
3614067[CVE-2025-42930] Luka typu „odmowa usługi” (DoS) w SAP Business Planning and Consolidation Komponenty: EPM-BPC-NW-SQE
Kategoria: Błąd programu
Średnia6.5
3647098[CVE-2025-42920] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w systemie SAP Supplier Relationship Management
Komponenty: SRM-EBP-TEC-ITS
Kategoria: Błąd programu
Średnia6.1
3629325[CVE-2025-42938] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w platformie SAP NetWeaver ABAP
Komponenty: CRM-BF-ML
Kategoria: Błąd programu
Średnia6.1
3409013[CVE-2025-42915] Brak kontroli autoryzacji w aplikacji Fiori (Zarządzanie blokami płatności) Komponenty: FI-FIO-AP
Kategoria: Błąd programu
Średnia5.4
3619465[CVE-2025-42926] Brak kontroli uwierzytelniania w SAP NetWeaver Application Server Java Komponenty: BC-WD-JAV K
ategoria: Błąd programu
Średnia5.3
3627644[CVE-2025-42911] Brak kontroli autoryzacji w SAP NetWeaver (pobieranie danych serwisowych) Komponenty: SV-SMG-SDD
Kategoria: Błąd programu
Średnia5.0
3610322[CVE-2025-42961] Brak kontroli autoryzacji w SAP NetWeaver Application Server dla ABAP
Komponenty: BC-DB-DBI
Kategoria: Błąd programu
Średnia4.9
3450692[CVE-2025-42923] Luka w zabezpieczeniach CSRF (cross-site request forgery) w aplikacji SAP Fiori (F4044 Zarządzanie grupami centrów roboczych)
Komponenty: PP-BD-WKC
Kategoria: Błąd programu
Średnia4.3
3623504[CVE-2025-42918] Brak kontroli autoryzacji w SAP NetWeaver Application Server dla ABAP (przetwarzanie w tle)
Komponenty: BC-CCM-BTC
Kategoria: Błąd programu
Średnia4.3
3640477[CVE-2025-42925] Luka w zabezpieczeniach Predictable Object Identifier w SAP NetWeaver AS Java (usługa IIOP)
Komponenty: BC-JAS-COR-RMT
Kategoria: Błąd programu
Średnia4.3
3624943[CVE-2025-42941] Luka w zabezpieczeniach Reverse Tabnabbing w SAP Fiori (Launchpad)
Komponenty: CA-FLP-FE-COR
Kategoria: Błąd programu
Niska3.5
3525295[CVE-2025-42927] Ujawnienie informacji z powodu nieaktualnej wersji OpenSSL w SAP NetWeaver AS Java (Adobe Document Service)
Komponenty: BC-SRV-FP
Kategoria: Informacje o planowaniu wydania
Niska3.4
3632154[CVE-2024-13009] Potencjalna luka w zabezpieczeniach SAP Commerce Cloud związana z nieprawidłowym udostępnianiem zasobów
Komponenty: CEC-SCC-PLA-PL
Kategoria: Błąd programu
Niska3.1