SAP opublikował nowe poprawki bezpieczeństwa w ramach marcowego SAP Security Patch Day. Aktualizacje obejmują 21 nowych not oraz 3 aktualizacje wcześniejszych not, dotyczących różnych komponentów systemu SAP.Poniżej przedstawiamy analizę najważniejszych poprawek z naciskiem na te o najwyższym priorytecie.
Najważniejsze podatności – priotytet wysoki
Luka w SAP NetWeaver (ABAP Class Builder) – CVSS 8.8
Nota: 3563927 Tytuł: Brak autoryzacji w SAP NetWeaver (ABAP Class Builder) Produkt: SAP NetWeaver CVE: CVE-2025-26661 Priorytet: Wysoki
SAP NetWeaver zawiera błąd autoryzacji, który może prowadzić do eskalacji uprawnień i nieautoryzowanego dostępu do krytycznych danych.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Ograniczenie dostępu do transakcji SA38, aby uniemożliwić nieautoryzowane użycie funkcji ABAP Class Builder
Luka w SAP Commerce (Swagger UI) – CVSS 8.8
Nota: 3569602 Tytuł: Cross-Site Scripting (XSS) w SAP Commerce (Swagger UI) Produkt: SAP Commerce Cloud CVE: CVE-2025-27434 Priorytet: Wysoki
Brak odpowiedniej walidacji wejścia umożliwia atakującemu wykonanie ataku XSS, co może prowadzić do naruszenia poufności, integralności i dostępności systemu SAP Commerce.
Zalecane działania naprawcze:
- Zaktualizowanie SAP Commerce Cloud do wersji eliminującej podatność
- Usunięcie Swagger UI lub ograniczenie dostępu do niego
Luka w Apache Tomcat w SAP Commerce Cloud – CVSS 8.6
Nota: 3566851 Tytuł: Wiele podatności w Apache Tomcat w SAP Commerce Cloud Produkt: SAP Commerce Cloud CVE: CVE-2024-38286 Priorytet: Wysoki
SAP Commerce Cloud korzystał z wersji Apache Tomcat podatnej na ataki DoS oraz błędy związane z nieobsługiwanymi warunkami błędów.
Zalecane działania naprawcze:
- Aktualizacja Apache Tomcat do najnowszej wersji dostarczonej przez SAP
- Wdrożenie odpowiednich zabezpieczeń przed atakami DoS
Luka w SAP Approuter – CVSS 8.1
Nota: 3567974 Tytuł: Ominięcie uwierzytelniania poprzez wstrzyknięcie kodu autoryzacyjnego w SAP Approuter Produkt: SAP Approuter (SAP BTP) CVE: CVE-2025-24876 Priorytet: Wysoki SAP Approuter zawiera błąd pozwalający na ominięcie procesu uwierzytelnienia. Zalecana jest pilna aktualizacja do wersji 16.7.2 lub wyższej.
Zalecane działania naprawcze:
- Aktualizacja SAP Approuter do wersji 16.7.2 lub nowszej
- Monitorowanie logów uwierzytelniania w celu wykrycia potencjalnych nadużyć
Luka w SAP PDCE – CVSS 7.7
Nota: 3483344 Tytuł: Brak sprawdzenia autoryzacji w SAP PDCE Produkt: SAP PDCE CVE: CVE-2024-39592 Priorytet: Wysoki Niepoprawna kontrola dostępu pozwala atakującemu na odczytanie wrażliwych informacji, co może wpłynąć na bezpieczeństwo danych w SAP PDCE.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Wdrożenie dodatkowych mechanizmów kontroli dostępu w SAP PDCE
Pozostałe noty bezpieczeństwa – priorytet średni i niski
Luka w SAP Business One (Service Layer) – CVSS 6.8
Nota: 3561045 Tytuł: Uszkodzone uwierzytelnianie w SAP Business One (warstwa usługi) Produkt: SAP Business One (Service Layer) CVE: CVE-2025-26658 Priorytet: Średni
Service Layer w SAP Business One pozwala atakującym na potencjalne uzyskanie nieautoryzowanego dostępu i podszywanie się pod innych użytkowników w aplikacji w celu wykonania nieautoryzowanych działań.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Wdrożenie bezpiecznej metody generowania identyfikatora sesji
Luka w SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML) – CVSS 6.1
Nota: 3552824 Tytuł: Luka Cross-Site Scripting (XSS) w SAP NetWeaver Application Server ABAP (aplikacje oparte na SAP GUI for HTML) Produkt: SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML) CVE: CVE-2025-26659 Priorytet: Średni
SAP NetWeaver Application Server ABAP nie koduje w wystarczającym stopniu danych wejściowych kontrolowanych przez użytkownika, co prowadzi do podatności na atak Cross-Site Scripting (XSS) opartej na DOM.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Zastosowanie walidacji walidacji danych wejściowych
Luka w SAP NetWeaver Application Server ABAP – CVSS 6.1
Nota: 3562390 Tytuł: Cross-Site Scripting (XSS) w SAP NetWeaver Application Server ABAP Produkt: SAP NetWeaver Application Server ABAP CVE: CVE-2025-25242 Priorytet: Średni
SAP NetWeaver Application Server ABAP umożliwia wykonywanie złośliwych skryptów w aplikacji, potencjalnie prowadząc do luki w zabezpieczeniach Cross-Site Scripting (XSS). Nie ma to wpływu na dostępność aplikacji, ale może mieć niewielki wpływ na jej poufność i integralność.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Odpowiednie kodowanie parametrów URL, aby zapobiec udanemu atakowi XSS
Luka w SAP Business Warehouse (Process Chains) – CVSS 5.7
Nota: 3552144 Tytuł: Brakujące sprawdzenie autoryzacji w SAP Business Warehouse (łańcuchy procesów) Produkt: SAP NetWeaver Application Server ABAP CVE: CVE-2025-25244 Priorytet: Średni
SAP Business Warehouse (Process Chains) umożliwia atakującemu manipulowanie wykonaniem procesu z powodu brakującego sprawdzenia autoryzacji. Osoba atakująca z uprawnieniami do wyświetlania obiektu łańcucha procesów może ustawić jeden lub wszystkie procesy do pominięcia.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Zabezpieczenie za pomocą kontroli uprawnień funkcji pomijania w łańcuchach procesów
Luka w SAP NetWeaver Application Server Java– CVSS 5.4
Nota: 3567246 Tytuł: Luka Cross-Site Scripting (XSS) w SAP NetWeaver Application Server Java Produkt: SAP NetWeaver Application Server ABAP CVE: CVE-2025-27431 Priorytet: Średni
Funkcjonalność zarządzania użytkownikami w SAP NetWeaver Application Server Java jest podatna na ataki typu Stored Cross-Site Scripting (XSS).
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Odpowiednie kodowanie parametrów URL, aby zapobiec udanemu atakowi XSS
Luka w SAP BusinessObjects Business Intelligence Platform (Web Intelligence) – CVSS 5.4
Nota: 3567246 Tytuł: Luka Cross-Site Scripting (XSS) w platformie SAP BusinessObjects Business Intelligence Platform (Web Intelligence) Produkt: SAP BusinessObjects Business Intelligence Platform (Web Intelligence) CVE: CVE-2025-25245 Priorytet: Średni
SAP BusinessObjects Business Intelligence Platform (Web Intelligence) zawiera przestarzały punkt końcowy aplikacji internetowej, który nie jest odpowiednio zabezpieczony.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Problem można naprawić, usuwając dotknięty nim punkt końcowy
Luka w SAP NetWeaver Enterprise Portal (OBN component) – CVSS 5.3
Nota: 3561792 Tytuł: Brakujące sprawdzenie uwierzytelniania w SAP NetWeaver Enterprise Portal (składnik OBN) Produkt: SAP NetWeaver Enterprise Portal (OBN component
CVE: CVE-2025-23194 Priorytet: Średni
OBN SAP NetWeaver Enterprise Portal nie przeprowadza prawidłowej kontroli uwierzytelniania dla określonego ustawienia konfiguracji.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Wymuszenie funkcji, której to dotyczy w celu prawidłowego sprawdzania ograniczeń dostępu aplikacji
Luka w SAP Web Dispatcher and Internet Communication Manager – CVSS 4.9
Nota: 3558132 Tytuł: Luka w zabezpieczeniach SAP Web Dispatcher i Internet Communication Manager powodująca ujawnienie informacji Produkt: SAP Web Dispatcher and Internet Communication Manager
CVE: CVE-2025-0071 Priorytet: Średni
SAP Web Dispatcher i Internet Communication Manager umożliwiają atakującemu z uprawnieniami administracyjnymi włączenie trybu śledzenia debugowania z określoną wartością parametru.
Zalecane działania naprawcze:
- Pobranie i instalacja najnowszego kernel patcha zawierającego wszystkie wcześniejsze poprawki.
- Użycie odpowiedniego archiwum: SAPWEBDISP.SAR dla SAP Web Dispatcher lub SAPEXE.SAR/SAPEXEDB.SAR dla ICM i osadzonego Web Dispatchera
Luka w SAP BusinessObjects Business Intelligence Platform – CVSS 4.7
Nota: 3557459 Tytuł: Luka Cross-Site Scripting (XSS) w platformie SAP BusinessObjects Business Intelligence Platform (Web Intelligence) Produkt: SAP BusinessObjects Business Intelligence Platform
CVE: CVE-2025-0062 Priorytet: Średni
SAP BusinessObjects Business Intelligence Platform pozwala atakującemu na wstrzyknięcie kodu JavaScript do raportów Web Intelligence.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Ograniczenie usługi Web Intelligence RESTful Web Service do akceptowania tylko typów plików graficznych
Luka w SAP S/4HANA (Manage Bank Statements) – CVSS 4.3
Nota: 3565835 Tytuł: Luki w zabezpieczeniach kontroli dostępu w SAP S/4HANA (Manage Bank Statements) Produkt: SAP S/4HANA (Manage Bank Statements)
CVE: CVE-2025-27433 Priorytet: Średni
Manage Bank Statements w SAP S/4HANA pozwala uwierzytelnionemu atakującemu na ominięcie pewnych ograniczeń funkcjonalności aplikacji i przesłanie plików do odwróconego wyciągu bankowego. Manage Bank Statements w SAP S/4HANA nie wykonuje wymaganych kontroli dostępu dla uwierzytelnionego użytkownika, aby potwierdzić, czy żądanie interakcji z zasobem jest uzasadnione, umożliwiając atakującemu usunięcie załącznika zaksięgowanego wyciągu bankowego.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Dostarczone instrukcje korekty dodają dodatkową kontrolę dostępu w celu poprawy bezpieczeństwa aktualizacji danych
Luka w SAP S/4HANA (RBD) – CVSS 4.3
Nota: 3557131 Tytuł: Brakujące sprawdzenie autoryzacji w SAP S/4HANA (RBD) Produkt: SAP S/4HANA (RBD)
CVE: CVE-2025-23188 Priorytet: Średni
Uwierzytelniony użytkownik z niskimi uprawnieniami może wykorzystać brak kontroli autoryzacji w module IBS FS-RBD, umożliwiając nieautoryzowanemu dostępowi wykonywanie działań wykraczających poza zamierzone uprawnienia.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Zaktualizowanie funkcji, których to dotyczy w celu wymuszenia odpowiednich ograniczeń dostępu
Luka w SAP Fiori apps (Posting Library) – CVSS 4.3
Nota: 3557655 Tytuł: Uszkodzona kontrola dostępu w aplikacjach SAP Fiori (biblioteka postów)
Produkt: SAP Fiori apps (Posting Library)
CVE: CVE-2025-26660 Priorytet: Średni
Aplikacje SAP Fiori korzystające z biblioteki delegowania nie konfigurują poprawnie ustawień zabezpieczeń podczas procesu konfiguracji, pozostawiając je domyślne lub nieodpowiednio zdefiniowane.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Dodanie kontroli bezpieczeństwa podczas aktualizacji danych
Luka w S/4HANA (Manage Purchasing Info Records) – CVSS 4.3
Nota: 3474392 Tytuł: Brakująca kontrola autoryzacji w S/4HANA (Zarządzanie rekordami informacji o zakupach)
Produkt: S/4HANA (Manage Purchasing Info Records)
CVE: CVE-2025-26656 Priorytet: Średni
Usługa OData w Manage Purchasing Info Records nie wykonuje niezbędnych kontroli autoryzacji dla uwierzytelnionego użytkownika, umożliwiając atakującemu eskalację uprawnień.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Poprawienie odpowiednich obiektów i kodu klasy
Aktualizacja do noty bezpieczeństwa wydana w sierpniu Patch Day 2024 – CVSS 4.3
Nota: 3475427 Tytuł: Luka w zabezpieczeniach przed ujawnieniem informacji w usłudze SAP Permit to Work
Produkt: S/4HANA (Manage Purchasing Info Records)
CVE: CVE-2024-41736 Priorytet: Średni
Pod pewnymi warunkami SAP Permit to Work umożliwia uwierzytelnionemu atakującemu dostęp do informacji, które w przeciwnym razie byłyby ograniczone, powodując niewielki wpływ na poufność aplikacji.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Usunięcie zakodowanego na stałe identyfikatora użytkownika z plików danych makiety
Luka w SAP Business Objects Business Intelligence Platform – CVSS 4.1
Nota: 3549494 Tytuł: Ujawnianie informacji w SAP Business Objects Business Intelligence Platform
Produkt: SAP Business Objects Business Intelligence Platform
CVE: CVE-2025-23185 Priorytet: Średni
Z powodu niewłaściwej obsługi błędów w SAP Business Objects Business Intelligence Platform, szczegóły techniczne aplikacji są ujawniane w wyjątkach rzucanych użytkownikowi i w śladach stosu.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Oczyszczanie i rejestrowanie wyjątków / śladów stosu i przekazywanie tylko ogólnego błędu do klientów
Luki w SAP Commerce Cloud i SAP Datahub – CVSS 3.7
Nota: 3562415 Tytuł: Wiele luk w zabezpieczeniach Spring Framework w SAP Commerce Cloud i SAP Datahub
Produkt: SAP Commerce Cloud i SAP Datahub
CVE: CVE-2024-38819 Priorytet: Niski
SAP Commerce Cloud i SAP Datahub wykorzystują wersje Spring Framework, które zawierają luki w zabezpieczeniach związane z przechodzeniem przez ścieżki (CVE-2024-38819) i manipulacją polami (CVE-2024-38820).
Zalecane działania naprawcze:
- Aktualizacja Spring Framework do wersji 5.3 w SAP Commerce Cloud i SAP Datahub, eliminując podatności na ataki typu path traversal i manipulację polami
Luki w SAP CRM i SAP S/4 HANA (Interaction Center) – CVSS 3.5
Nota: 3561861 Tytuł: Server Side Request Forgery (SSRF) w SAP CRM i SAP S/4 HANA (Interaction Center)
Produkt: SAP CRM i SAP S/4 HANA (Interaction Center)
CVE: CVE-2025-27430 Priorytet: Niski
W pewnych warunkach luka SSRF w SAP CRM i SAP S/4HANA (Interaction Center) umożliwia atakującemu z niskimi uprawnieniami dostęp do zastrzeżonych informacji.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Usunięcie dodatkowego tokena dostępu i zastosowanie podejścia listy zezwoleń dla serwerów docelowych wiadomości SAM, co zapobiega możliwości zbierania zastrzeżonych informacji
Luki w SAP JIT(Outbound) – CVSS 3.1
Nota: 3347991 Tytuł: Brakująca kontrola autoryzacji w SAP JIT(Outbound)
Produkt: SAP JIT(Outbound)
CVE: CVE-2025-26655 Priorytet: Niski
SAP Just In Time (JIT) nie przeprowadza niezbędnych kontroli autoryzacji dla uwierzytelnionego użytkownika, umożliwiając atakującemu eskalację uprawnień, które w przeciwnym razie byłyby ograniczone, potencjalnie powodując niewielki wpływ na integralność aplikacji.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Wdrożenie wymaganych kontroli autoryzacyjnych w transakcjach
Luki w SAP Electronic Invoicing for Brazil (eDocument Cockpit) – CVSS 2.4
Nota: 3568865 Tytuł: Brakująca kontrola autoryzacji w SAP JIT(Outbound)
Produkt: SAP Electronic Invoicing for Brazil (eDocument Cockpit)
CVE: CVE-2025-27432 Priorytet: Niski
eDocument Cockpit (Inbound NF-e) w SAP Electronic Invoicing for Brazil umożliwia uwierzytelnionemu atakującemu z pewnymi uprawnieniami uzyskanie nieautoryzowanego dostępu do każdej transakcji.
Zalecane działania naprawcze:
- Implementacja poprawki zgodnie z instrukcjami SAP
- Weryfikacja uprawnień dla każdej transakcji zostanie przeprowadzona, gdy użytkownik otworzy dostawę przychodzącą
Najlepsze praktyki zabezpieczania endpointów Spring Boot Actuator dla aplikacji działających na BTP – CVSS 0.0
Nota: 3576540 Tytuł: Poradnik dotyczący bezpieczeństwa Open Source: Najlepsze praktyki zabezpieczania endpointów Spring Boot Actuator dla aplikacji działających na BTP.
Produkt: BTP
CVE: N/A Priorytet: Niski
Nieprawidłowo zabezpieczone endpointy Spring Boot Actuator w aplikacjach Java na BTP Cloud Foundry, KYMA i NEO mogą prowadzić do nieautoryzowanego dostępu, wycieku danych i ataków RCE. Konieczne jest ich odpowiednie zabezpieczenie.
Warunki, które muszą zostać spełnione, aby aplikacja była narażona:
- Aplikacja jest zaimplementowana w Spring Boot.
- Aplikacja używa zależności spring-boot-starter-actuator.
- Włączone są endpointy actuatora w konfiguracji aplikacji (properties / yaml). Uwagi: W domyślnych wersjach tylko endpoint „health” jest włączony.
- Brak autoryzacji i uwierzytelniania dla tych endpointów.
- Endpointy actuatora nie są odpowiednio zabezpieczone (np. brak integracji z klasą konfiguracji bezpieczeństwa).
Zaleca się, aby te warunki sprawdził developer aplikacji Java.
SNOK – Twój partner w zabezpieczaniu systemów SAP
SNOK specjalizuje się w zabezpieczaniu systemów SAP i chętnie pomoże przy implementacji zaleceń SAP. Nasze doświadczenie w zakresie cyberbezpieczeństwa systemów SAP pozwala nam skutecznie identyfikować, analizować i naprawiać podatności, zapewniając bezpieczeństwo Twoich krytycznych systemów biznesowych.
Jeśli potrzebujesz wsparcia w implementacji poprawek bezpieczeństwa SAP lub kompleksowej analizy bezpieczeństwa Twojego środowiska SAP, skontaktuj się z naszym zespołem ekspertów, którzy pomogą zabezpieczyć Twoje systemy przed najnowszymi zagrożeniami.