Firma SAP wydała pakiet poprawek bezpieczeństwa z października 2025 roku, zawierający 16 not bezpieczeństwa, które usuwają krytyczne luki w zabezpieczeniach w korporacyjnych środowiskach SAP. Ta wersja obejmuje cztery luki w zabezpieczeniach HotNews z oceną CVSS do 10.0, dwa problemy o wysokim priorytecie, osiem poprawek o średnim priorytecie oraz dwie aktualizacje o niskim priorytecie. Poprawki dotyczą NetWeaver AS Java, SAP Commerce Cloud, BusinessObjects, Supplier Relationship Management oraz różnych komponentów aplikacji SAP.
Notatka | Opis | Krytyczność | CVSS |
3660659 | [CVE-2025-42944] Wzmocnienie bezpieczeństwa w przypadku niebezpiecznej deserializacji w SAP NetWeaver AS Java Produkt – SAP NetWeaver AS Java Wersja – SERVERCORE 7.50 | Krytyczna | 10.0 |
3634501 | Aktualizacja notatki bezpieczeństwa wydana we wrześniu 2025 r. w ramach Patch Day: [CVE-2025-42944] Luka w zabezpieczeniach deserializacji w SAP Netweaver (RMI-P4) Produkt – SAP NetWeaver AS Java Wersja – SERVERCORE 7.50 | Krytyczna | 10.0 |
3630595 | [CVE-2025-42937] Luka w zabezpieczeniach związana z przechodzeniem przez katalogi w usłudze drukowania SAP Produkt – SAP Print Service Wersje – SAPSPRINT 8.00, 8.10 | Krytyczna | 9.8 |
3647332 | [CVE-2025-42910] Luka w zabezpieczeniach umożliwiająca nieograniczone przesyłanie plików w systemie SAP Supplier Relationship Management Produkt – SAP Supplier Relationship Management Wersje – SRMNXP01 100, 150 | Krytyczna | 9.0 |
3664466 | [CVE-2025-5115] Odmowa usługi (DOS) w SAP Commerce Cloud (wyszukiwanie i nawigacja) Produkt – SAP Commerce Cloud Wersje – HY_COM 2205, COM_CLOUD 2211, 2211-JDK21 | Wysoka | 7.5 |
3658838 | [CVE-2025-48913] Luka w zabezpieczeniach związana z błędną konfiguracją w pakiecie SAP Data Hub Integration Suite Produkt – SAP Data Hub Integration Suite Wersja – CX_DATAHUB_INT_PACK 2205 | Wysoka | 7.1 |
3503138 | Aktualizacja notatki bezpieczeństwa wydana w styczniu 2025 r. w ramach aktualizacji: [CVE-2025-0059] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver Application Server ABAP (aplikacje oparte na SAP GUI dla HTML) Produkt – SAP NetWeaver Application Server ABAP Wersje – KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12, 9.14 | Średnia | 6.0 |
3652788 | [CVE-2025-42901] Luka w zabezpieczeniach umożliwiająca wstrzyknięcie kodu w SAP Application Server for ABAP (BAPI Browser) Produkt — SAP Application Server dla ABAP Wersje — SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816 | Średnia | 5.4 |
3642021 | [CVE-2025-42908] Luka w zabezpieczeniach CSRF (cross-site request forgery) w SAP NetWeaver Application Server dla ABAP Produkt – SAP NetWeaver Application Server dla ABAP Wersje – KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16 | Średnia | 5.4 |
3634724 | [CVE-2025-42906] Luka w zabezpieczeniach związana z przechodzeniem przez katalogi w SAP Commerce Cloud Produkt — SAP Commerce Cloud Wersja — COM_CLOUD 2211 | Średnia | 5.3 |
3627308 | [CVE-2025-42902] Luka w zabezpieczeniach związana z uszkodzeniem pamięci w SAP Netweaver AS ABAP i platformie ABAP Produkt – SAP NetWeaver AS ABAP i platforma ABAP Wersje – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.14, 9.15, 9.16 | Średnia | 5.3 |
3625683 | [CVE-2025-42939] Brak kontroli autoryzacji w SAP S/4HANA (Zarządzanie regułami przetwarzania – dla wyciągów bankowych) Produkt — SAP S/4HANA Wersje — S4CORE 104, 105, 106, 107, 108, 109 | Średnia | 4.3 |
3577131 | Aktualizacja notatki bezpieczeństwa wydana w kwietniu 2025 r. w ramach Patch Day: [CVE-2025-31331] Luka w zabezpieczeniach SAP NetWeaver umożliwiająca ominięcie autoryzacji Produkt — SAP NetWeaver Wersje – SAP_ABA 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G, 75H, 75I | Średnia | 4.3 |
3656781 | [CVE-2025-42903] Wyliczanie użytkowników i ujawnianie danych wrażliwych za pośrednictwem funkcji RFC w SAP Financial Service Claims Management Produkt – SAP Financial Service Claims Management Wersje – INSURANCE 803, 804, 805, 806, S4CEXT 107, 108, 109 | Średnia | 4.3 |
3617142 | [CVE-2025-31672] Luka w zabezpieczeniach deserializacji w SAP BusinessObjects (Web Intelligence i Platform Search) Produkt – SAP BusinessObjects Wersje – ENTERPRISE 430, 2025, 2027 | Niska | 3.5 |
3643871 | [CVE-2025-42909] Luka w zabezpieczeniach związana z błędną konfiguracją w urządzeniach SAP Cloud Appliance Library Produkt – SAP Cloud Appliance Library Appliances Wersja- TITANIUM_WEBAPP 4.0 | Niska | 3.0 |