Firma SAP wydała pakiet poprawek bezpieczeństwa z października 2025 roku, zawierający 16 not bezpieczeństwa, które usuwają krytyczne luki w zabezpieczeniach w korporacyjnych środowiskach SAP. Ta wersja obejmuje cztery luki w zabezpieczeniach HotNews z oceną CVSS do 10.0, dwa problemy o wysokim priorytecie, osiem poprawek o średnim priorytecie oraz dwie aktualizacje o niskim priorytecie. Poprawki dotyczą NetWeaver AS Java, SAP Commerce Cloud, BusinessObjects, Supplier Relationship Management oraz różnych komponentów aplikacji SAP.

NotatkaOpisKrytycznośćCVSS
3660659[CVE-2025-42944] Wzmocnienie bezpieczeństwa w przypadku niebezpiecznej deserializacji w SAP NetWeaver AS Java
Produkt – SAP NetWeaver AS Java
Wersja – SERVERCORE 7.50
Krytyczna10.0
3634501Aktualizacja notatki bezpieczeństwa wydana we wrześniu 2025 r. w ramach Patch Day: [CVE-2025-42944] Luka w zabezpieczeniach deserializacji w SAP Netweaver (RMI-P4)
Produkt – SAP NetWeaver AS Java
Wersja – SERVERCORE 7.50
Krytyczna10.0
3630595[CVE-2025-42937] Luka w zabezpieczeniach związana z przechodzeniem przez katalogi w usłudze drukowania SAP
Produkt – SAP Print Service
Wersje – SAPSPRINT 8.00, 8.10
Krytyczna9.8
3647332[CVE-2025-42910] Luka w zabezpieczeniach umożliwiająca nieograniczone przesyłanie plików w systemie SAP Supplier Relationship Management
Produkt – SAP Supplier Relationship Management
Wersje – SRMNXP01 100, 150
Krytyczna9.0
3664466[CVE-2025-5115] Odmowa usługi (DOS) w SAP Commerce Cloud (wyszukiwanie i nawigacja)
Produkt – SAP Commerce Cloud
Wersje – HY_COM 2205, COM_CLOUD 2211, 2211-JDK21
Wysoka7.5
3658838[CVE-2025-48913] Luka w zabezpieczeniach związana z błędną konfiguracją w pakiecie SAP Data Hub Integration Suite
Produkt – SAP Data Hub Integration Suite
Wersja – CX_DATAHUB_INT_PACK 2205
Wysoka7.1
3503138Aktualizacja notatki bezpieczeństwa wydana w styczniu 2025 r. w ramach aktualizacji: [CVE-2025-0059] Luka w zabezpieczeniach umożliwiająca ujawnienie informacji w SAP NetWeaver Application Server ABAP (aplikacje oparte na SAP GUI dla HTML) Produkt – SAP NetWeaver Application Server ABAP Wersje – KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.12, 9.14Średnia6.0
3652788[CVE-2025-42901] Luka w zabezpieczeniach umożliwiająca wstrzyknięcie kodu w SAP Application Server for ABAP (BAPI Browser)
Produkt — SAP Application Server dla ABAP Wersje — SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816
Średnia5.4
3642021[CVE-2025-42908] Luka w zabezpieczeniach CSRF (cross-site request forgery) w SAP NetWeaver Application Server dla ABAP
Produkt – SAP NetWeaver Application Server dla ABAP Wersje – KRNL64UC 7.53, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16
Średnia5.4
3634724[CVE-2025-42906] Luka w zabezpieczeniach związana z przechodzeniem przez katalogi w SAP Commerce Cloud
Produkt — SAP Commerce Cloud Wersja — COM_CLOUD 2211
Średnia5.3
3627308[CVE-2025-42902] Luka w zabezpieczeniach związana z uszkodzeniem pamięci w SAP Netweaver AS ABAP i platformie ABAP
Produkt – SAP NetWeaver AS ABAP i platforma ABAP Wersje – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.14, 9.15, 9.16
Średnia5.3
3625683[CVE-2025-42939] Brak kontroli autoryzacji w SAP S/4HANA (Zarządzanie regułami przetwarzania – dla wyciągów bankowych)
Produkt — SAP S/4HANA Wersje — S4CORE 104, 105, 106, 107, 108, 109
Średnia4.3
3577131Aktualizacja notatki bezpieczeństwa wydana w kwietniu 2025 r. w ramach Patch Day: [CVE-2025-31331] Luka w zabezpieczeniach SAP NetWeaver umożliwiająca ominięcie autoryzacji Produkt — SAP NetWeaver
Wersje – SAP_ABA 700, 701, 702, 731, 740, 750, 751, 752, 75C, 75D, 75E, 75F, 75G, 75H, 75I
Średnia4.3
3656781[CVE-2025-42903] Wyliczanie użytkowników i ujawnianie danych wrażliwych za pośrednictwem funkcji RFC w SAP Financial Service Claims Management Produkt – SAP Financial Service Claims Management
Wersje – INSURANCE 803, 804, 805, 806, S4CEXT 107, 108, 109
Średnia4.3
3617142[CVE-2025-31672] Luka w zabezpieczeniach deserializacji w SAP BusinessObjects (Web Intelligence i Platform Search) Produkt – SAP BusinessObjects
Wersje – ENTERPRISE 430, 2025, 2027
Niska3.5
3643871[CVE-2025-42909] Luka w zabezpieczeniach związana z błędną konfiguracją w urządzeniach SAP Cloud Appliance Library Produkt – SAP Cloud Appliance Library Appliances
Wersja- TITANIUM_WEBAPP 4.0
Niska3.0