RFC-Lücke bei ABAP-Systemen | SAP Security Patchday Juni 2025
Autor: Tobias Harmes | 10. Juni 2025
Der SAP Security Patchday im Juni war am 10.06.2025. Wie jeden zweiten Dienstag im Monat gibt es am SAP Patchday neue SAP Security Notes. Diesmal kommen 14 neue Security-Hinweise und ausnahmsweise keine Updates. Der wichtigste Patch schließt eine kritische RFC-Lücke in NetWeaver ABAP Systemen.
Diesmal hat ein Hinweis der Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.
Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:
- https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
- Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
- Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)
Fehlende Prüfung erlaubt Berechtigungs-Eskalation bei RFC-Verbindungen auf ABAP Systemen
In bestimmten Szenarien können authentifizierte Benutzer via RFC ihre Rechte ausweiten und die Integrität und Verfügbarkeit des SAP-Systems verletzen. Die Sicherheitslücke hat einen CVSS-Score von 9.6/10.
Die Lösung ist eine Aktualisieren des Kernels UND die Aktivierung eines Profilparameters und die erweiterten Berechtigungsprüfungen auch zu aktivieren. Das erfordert allerdings unter Umständen bei legitimen Usern zusätzliche S_RFC-Berechtigungen.
Im Hinweis gibt es dazu zusätzliche Informationen und einen FAQ-Hinweis, der Hilfestellung gibt, wie man durch das Security Audit Log relevante User identifizieren kann. Alle Details und Links auf die Kernel-Patches im Hinweis 3600840 – [CVE-2025-42989] Missing Authorization check in SAP NetWeaver Application Server for ABAP
SAP GRC Access Control Plugin exportiert auch Zugangsdaten
Ein Report des Access Control Plugins erlaubt nicht-administrativen Usern Zugangsdaten zu extrahieren. Die Lücke wird mit CVSS-Score 8.8/10 bewertet.
Die Lösung ist die Deaktivierung des entsprechenden Reports durch einspielen des Hinweises, es gibt keinen Workaround. Details dazu im Hinweis 3609271 – [CVE-2025-42982] Information Disclosure in SAP GRC (AC Plugin)
Tabellen schreddern mit SAP_BW und PI_BASIS
Eine Sicherheitslücke in den Plugins von SAP Business Warehouse (SAP_BW) und SAP Basis (PI_BASIS) erlauben es authentifizierten Anwendern über Reports wahlfrei Tabellen zu löschen. Die Sicherheitslücke hat einen CVSS-Score von 8.5/10.
Die Lösung ist ein geänderter Funktionsbaustein, die Lösung ist daher das Einspielen des Hinweises. Einen Workaround gibt es nicht. Details im Hinweis 3606484 – [CVE-2025-42983] Missing Authorization check in SAP Business Warehouse and SAP Plug-In Basis
BI Workspace von SAP Business Objects erlaubt Cross-Site Scripting (XSS)
Nicht-Authentifizierte Angreifer können in BO-Arbeitsbereichen schädliche Scripte hinterlegen, die dann von Anwendern in deren Kontext und Berechtigungen ausgeführt werden.
Die Lücke hat einen CVSS-Score von 8.2/10, die Lösung ist ein Support Package oder das Einspielen des Hinweises – damit wird eine entsprechende Eingabebereinigung eingeführt. Details im Hinweis 3560693 – [CVE-2025-23192] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence (BI Workspace)
Unterlagen und Links
Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.
- Alle Hinweise aus diesem Patchday: SAP Security Patch Day – Juni 2025
- AK Security & Vulnerability Management AK
- Online-Session: “Diskussion zu ausgewählten SAP Security Notes” ab dem 18.06.2025
- Security Notes Webinar Folien auf sap.com (werden zeitverzögert bereitgestellt unter Advisories)
- Hintertür in AS JAVA wird ausgenutzt | SAP Security Patchday Mai 2025
Demnächst…
Fiori vs. GUI Berechtigungen | LIVE WEBINAR am 17.06.2025
In diesem Webinar erfahren Sie, was Sie bei der Gestaltung Ihrer Rollen und Berechtigungen für Fiori beachten müssen und was sich bei der Umstellung auf S/4HANA aus Berechtigungssicht alles ändert.
Risiko SAP: Sicherheitslücken schließen und Compliance sicherstellen | LIVE WEBINAR am 26.06.2025
SAP-Systeme spielen eine zentrale Rolle für die Informationssicherheit moderner Unternehmen – doch ihre Einbindung in die Sicherheitsstrategie oder ins ISMS bietet oft noch ungenutztes Potenzial. In unserem Webinar zeigen wir Ihnen, wie Sie SAP-Sicherheit gezielt stärken und effektiv mit Ihrer Informationssicherheitsstrategie verbinden.
Expertenforum in Frankfurt: S/4HANA, SAP Cloud & KI – Sicherheit und Innovation im Fokus | LIVE WEBINAR am 10.09.2025
Nutzen Sie die Chance, sich mit Experten und Fachkollegen auszutauschen und praxisorientierte Lösungen für Ihre SAP-Herausforderungen zu entwickeln. Erhalten Sie wertvolle Insights zur Migration von SAP-Berechtigungen nach S/4HANA und zur Umsetzung sicherer Cloud-Szenarien. In den Masterclasses arbeiten Sie direkt an konkreten Anwendungsmöglichkeiten – von der Optimierung der Berechtigungen mit dem Pointsharp Authorization Robot bis zur sicheren Navigation auf der SAP BTP. Die Veranstaltung ist für Sie kostenlos.
