SAP Commerce Lücken und SA38 Zugriff | SAP Security Patchday März 2025

Wie schon im Februar schafft kein Hinweis die Einstufung „Hot News“ für Sicherheitslücken mit einem Risiko-Score CVSS >9.0. Auf der Support-Seite von SAP kann man die aktuellen Security Patch Day Details finden.

Hier ist ein anderer einfacher Weg zu den aktuellen Security Notes vom Patchday:

1. https://me.sap.com/app/securitynotes aufrufen (S-User erforderlich)
2. Optional: den CVSS-Score auf 8-10 einstellen, je nach Schutzbedarf
3. Spalte „Freigegeben am“ finden und dort alle Einträge seit dem letzten Patchday studieren – die Filterung auf den aktuellen Monat lässt leider Updates aus, die zwischen den Patchdays veröffentlicht worden sind. (Danke an Jan für diesen Hinweis!)

SAP Commerce Cross-Site Scripting (XSS) via Swagger-UI

Der Hinweis zur Schwachstelle hat einen CVSS-Score von 8.8/10, scheint aber nicht leicht auszuführen zu sein: Wenn Angreifer jemanden dazu bringen, bestimmte schadhafte Inhalte in Eingabe-Felder der Swagger-UI selbst einzufügen, kann Cross-Site Scripting die Integrität und Verfügbarkeit von SAP Commerce gefährden. Swagger-UI ist eine nützliche Komponente für Entwicklung, Test und Anbindung von Schnittstellen in Verbindung mit der Commerce Cloud (z. B. für Alternative Front Stores).

Die eigentliche Verwundbarkeit ist in dem genutzten OpenSource-Framework springdoc-openai-starter aufgedeckt worden. Lösung ist deshalb auch das Patchen. Alternativ kann als Workaround die entsprechende Funktionalität deaktiviert werden – falls überhaupt möglich. Details dazu im Hinweis 3569602 – [CVE-2025-27434] Schwachstelle bezüglich Cross-Site-Scripting (XSS) in SAP Commerce (Swagger-UI)

Fehlende Berechtigungsprüfung in SAP NetWeaver ABAP Class Builder erlaubt SA38

Die beliebige Ausführung von Reports über die Transaktion SA38 ist ein beliebtes Ziel um Berechtigungsprüfungen zu umgehen. Mit einem CVSS-Score von 8.8/10 wird eine Schwachstelle bewertet, die den Zugriff auf die Reportausführung über den ABAP Class Builder ermöglicht hat.

Lösung für das Problem ist eine Programmanpassung, die den Zugriff unterbindet. Einen Workaround gibt es nicht. Im Hinweis sind die passenden Korrekturanleitungen verlinkt: 3563927 – [CVE-2025-26661] Missing Authorization check in SAP NetWeaver (ABAP Class Builder)

SAP Commerce leidet unter Tomcat Sicherheitslücken

Zweiter Hinweis zu SAP Commerce mit CVSS-Score 8.6/10 behebt Sicherheitslücken, die bei dem Webserver Tomcat gefunden wurden. Die Software wird von SAP Commerce genutzt und ist anfällig für Denial-of-Service-Angriffe und hat Schwächen im Abfangen von bestimmten Fehlersituationen.

Lösung ist der Patch auf neuere Versionen, die entsprechend aktualisierte Tomcat-Komponenten enthalten. Details dazu im Hinweis 3566851 – [CVE-2024-38286] Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud

Authentifizierungs-Umgehung bei BTP-Apps mit SAP Approuter

Es ist ein Update aus dem Februar. Der von BTP-Apps verwendete SAP Approuter vor 16.7.2 ist betroffen von einer Umgehung der Authentifizierung. Die Lücke hat weiterhin einen CVSS-Score von 8.1/10.

Als Lösung müssen alle SAP Approuter mit der neuen Node.js Version 16.7.2 oder höher aktualisiert werden. Ich habe hier den Änderungsverlauft verlinkt: 3567974 – [CVE-2025-24876] Authentication bypass via authorization code injection in SAP Approuter

Unterlagen und Links

Das war es schon. Wie immer schaue ich hier nur auf das, was die Schwelle von CVSS-Score 8.0 überschreitet. Bitte schaut selbst nach, ob für eure Systemumgebung und eurem Schutzbedarf nicht vielleicht doch etwas dabei ist.

• Alle Hinweise aus diesem Patchday: SAP Security Patch Day – März 2025
• AK Security & Vulnerability Management AK
• Online-Session: „Diskussion zu ausgewählten SAP Security Notes“ ab dem 20.03.2025
• Security Notes Webinar Folien auf sap.com (werden zeitverzögert bereitgestellt unter Advisories)
• Datei-Download von SAP SRM MDM und Umgehung SAP BTP-Apps Authentifizierung | SAP Security Patchday Februar 2025

Demnächst…

Am 27.03.2025  Webinar: Das richtige Tool für SAP Security & Angriffserkennung finden

In diesem Webinar erfahren Sie, wie Sie das passende SAP Security-Tool auswählen, um Bedrohungen frühzeitig zu erkennen und abzuwehren. Unser Experte gibt Ihnen einen Marktüberblick der Tools, zeigt Ihnen, welche Kriterien bei der Tool-Auswahl entscheidend sind und wie Sie Sicherheitslücken proaktiv schließen.
Mehr erfahren

Am 08.04.2025 Webinar: So meistern Sie Identity & Access Management mit der SAP BTP

Cloud-Landschaften wachsen, neue SAP-Services werden integriert – doch wie bleibt die Identitäts- und Zugriffsverwaltung dabei effizient, sicher und regelkonform? In unserem Webinar erfahren Sie, wie Sie Identity und Access Management (IAM) in der SAP BTP optimal umsetzen.
Mehr erfahren

Am 23.04.2025  Webinar: S/4HANA Migration: Berechtigungen, Lizenzen, Einsparpotenziale

Viele Unternehmen zahlen unnötig hohe Lizenzkosten oder setzen sich unbewusst Compliance-Risiken aus. Erfahren Sie im Webinar, welche Lizenzierungsfehler Unternehmen häufig machen und wie Sie die Lizenzfalle umgehen können.
Mehr erfahren