Grudniowe wydanie SAP Security Patch Day to jedno z najpoważniejszych w 2025 roku. SAP opublikował 14 not bezpieczeństwa, w tym 3 krytyczne (HotNews) z oceną CVSS powyżej 9.0, 5 o wysokim priorytecie oraz 6 o średnim priorytecie. W tym artykule szczegółowo omówiono każdą z nich.
🚨 KRYTYCZNE (HotNews) – CVSS 9.0+
1. Code Injection w SAP Solution Manager (CVE-2025-42880)
SAP Note: 3685270 CVSS: 9.9/10 Komponent: SV-SMG-SVD-SWB
To najpoważniejsza podatność tego miesiąca i jedna z najgroźniejszych w ostatnim czasie. Problem dotyczy braku sanityzacji danych wejściowych w zdalnie dostępnym module funkcyjnym (remote-enabled function module) w SAP Solution Manager.
Na czym polega zagrożenie?
Uwierzytelniony atakujący może wstrzyknąć złośliwy kod podczas wywołania zdalnego modułu funkcyjnego. Skuteczna eksploatacja daje atakującemu pełną kontrolę nad systemem, co przekłada się na krytyczny wpływ na poufność, integralność i dostępność.
Wektor ataku (CVSS v3.0):
- Attack Vector: Network – atak możliwy przez sieć
- Attack Complexity: Low – niska złożoność ataku
- Privileges Required: Low – wystarczą niskie uprawnienia
- User Interaction: None – nie wymaga interakcji użytkownika
- Scope: Changed – możliwość wpływu na inne komponenty
Rozwiązanie:
SAP naprawił problem dodając kod sanityzujący dane wejściowe, który odrzuca większość znaków niealfanumerycznych. Należy wdrożyć Correction Instructions lub Support Packages wskazane w nocie bezpieczeństwa.
Workaround: Brak – jedynym rozwiązaniem jest wdrożenie poprawki.
Dlaczego to krytyczne?
SAP Solution Manager to centralne narzędzie do zarządzania krajobrazem SAP. Kompromitacja tego systemu może otworzyć drogę do ataku na wszystkie zarządzane systemy SAP w organizacji.
2. Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud (CVE-2025-55754, CVE-2025-55752)
SAP Note: 3683579 CVSS: 9.6/10 Komponent: CEC-SCC-PLA-PL
SAP Commerce Cloud wykorzystuje wersję Apache Tomcat zawierającą dwie poważne podatności.
CVE-2025-55754 – Console Manipulation
Podatność umożliwia ataki manipulacji konsolą poprzez specjalnie spreparowane URL-e. Atakujący może wykorzystać tę lukę do manipulowania wyświetlanymi danymi lub wykonywania nieautoryzowanych operacji.
CVE-2025-55752 – Relative Path Traversal
Klasyczna podatność path traversal pozwalająca na dostęp do plików i katalogów poza zamierzonym zakresem aplikacji.
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: None – nie wymaga uwierzytelnienia
- User Interaction: Required – wymaga interakcji użytkownika
- Scope: Changed
Rozwiązanie:
SAP Commerce Cloud wymaga aktualizacji do wersji zawierającej poprawioną wersję Apache Tomcat:
- SAP Commerce Cloud Patch Release 2205.45
- SAP Commerce Cloud Update Release 2211.47
- SAP Commerce Cloud Update Release 2211-jdk21.5
Po instalacji patcha konieczne jest przebudowanie i ponowne wdrożenie zaktualizowanej wersji SAP Commerce Cloud.
Workaround: Brak.
3. Deserialization Vulnerability w SAP jConnect – SDK for ASE (CVE-2025-42928)
SAP Note: 3685286 CVSS: 9.1/10 Komponent: BC-SYB-SDK
Podatność deserializacyjna w SAP jConnect umożliwia zdalne wykonanie kodu (RCE).
Na czym polega zagrożenie?
W określonych warunkach, użytkownik z wysokimi uprawnieniami może wykorzystać podatność deserializacji do uruchomienia zdalnego wykonania kodu. System jest podatny, gdy specjalnie spreparowane dane wejściowe zostaną użyte do eksploatacji luki.
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: High – wymaga wysokich uprawnień
- User Interaction: None
- Scope: Changed
Rozwiązanie:
SAP wyłączył serializację i deserializację podatnych wartości wejściowych w SAP jConnect dla JDBC Driver. Ograniczono również wartości, które można ustawić dla właściwości połączenia.
Wymagana aktualizacja do:
- SDK FOR SAP ASE 16.0 SP04 PL08
- SDK FOR SAP ASE 16.1 SP00 PL01 HF1
Workaround: Brak.
⚠️ WYSOKI PRIORYTET – CVSS 7.0-8.9
4. Denial of Service (DoS) w SAP NetWeaver – remote service for Xcelsius (CVE-2025-42874)
SAP Note: 3640185 CVSS: 7.9/10 Komponent: BW-BEX-ET-XC
Podatność w usłudze zdalnej dla Xcelsius w SAP NetWeaver pozwala na wykonanie dowolnego kodu.
Na czym polega zagrożenie?
Atakujący z dostępem do sieci i wysokimi uprawnieniami może wykonać dowolny kod na docelowym systemie z powodu niewystarczającej walidacji danych wejściowych oraz nieprawidłowej obsługi zdalnych wywołań metod. Eksploatacja nie wymaga interakcji użytkownika i może prowadzić do przerwania usługi lub nieautoryzowanej kontroli nad systemem.
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: High
- Privileges Required: High
- User Interaction: None
- Scope: Changed
- Confidentiality Impact: Low
- Integrity Impact: High
- Availability Impact: High
Kontekst historyczny:
Warto zauważyć, że Xcelsius osiągnął koniec życia produktu 31 grudnia 2020 roku, ponieważ był oparty na Adobe Flash, który sam zakończył wsparcie 12 stycznia 2021. Ta poprawka całkowicie usuwa usługę zdalną wymaganą dla Xcelsius.
Rozwiązanie:
Dla SAP NetWeaver BI 7.50 należy zaimportować BI Java Patch. Szczegółowe informacje o dostawie w nocie 3539090.
Workaround: Dostępny jako tymczasowe rozwiązanie – szczegóły w manual activities w nocie. SAP zdecydowanie zaleca jednak wdrożenie pełnej poprawki.
5. Sensitive Data Exposure w SAP Web Dispatcher i ICM (CVE-2025-42878)
SAP Note: 3684682 CVSS: 8.6/10 Komponent: BC-CST-IC
SAP Web Dispatcher oraz Internet Communication Manager (ICM) mogą eksponować wewnętrzne interfejsy testowe, które nie są przeznaczone do użytku produkcyjnego.
Na czym polega zagrożenie?
Jeśli parametr icm/HTTP/icm_test_ jest włączony, nieuwierzytelnieni atakujący mogą wykorzystać go do:
- Dostępu do funkcji diagnostycznych
- Wysyłania spreparowanych żądań
- Zakłócania usług
Zakres podatności:
Podatność dotyczy:
- Samodzielnych instalacji Web Dispatcher
- Web Dispatcher w HANA Extended Application Services Classic i Advanced Model (XSC, XSA)
- ICM w SAP NetWeaver Application Server ABAP i Java
Ważne: Web Dispatcher i ICM są podatne tylko jeśli parametr icm/HTTP/icm_test_ jest jawnie ustawiony w konfiguracji.
Rozwiązanie:
Należy usunąć wszystkie parametry icm/HTTP/icm_test_ z profili DEFAULT i instancji, a następnie zrestartować Web Dispatcher lub serwer aplikacji.
Parametr jest wektorowy – może występować jako icm/HTTP/icm_test_0, icm/HTTP/icm_test_1 itd.
Workaround: Brak – jedynym rozwiązaniem jest usunięcie parametrów.
6. Denial of Service (DoS) w SAP Business Objects (CVE-2025-48976)
SAP Note: 3650226 CVSS: 7.5/10 Komponent: BI-BIP-CMC
Podatność typu Denial of Service w SAP Business Objects.
Na czym polega zagrożenie?
Nieuwierzytelniony atakujący może zalać usługę żądaniami z powodu nieprawidłowej obsługi żądań i zasobów. Skutkuje to uniemożliwieniem dostępu legalnym użytkownikom, długimi opóźnieniami lub całkowitym przerwaniem usługi.
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: None
- User Interaction: None
- Confidentiality/Integrity Impact: None
- Availability Impact: High
Rozwiązanie:
SAP naprawił problem aktualizując dotknięte komponenty firm trzecich do bezpiecznych wersji, zapewniając wzmocnione zarządzanie zasobami i ochronę przed niekontrolowanym zużyciem zasobów.
Należy wdrożyć patche wymienione w sekcji „Support Packages & Patches” noty bezpieczeństwa.
Workaround: Brak.
7. Memory Corruption w SAP Web Dispatcher, ICM i SAP Content Server (CVE-2025-42877)
SAP Note: 3677544 CVSS: 7.5/10 Komponent: BC-CST-IC
Podatność typu Memory Corruption w kluczowych komponentach infrastruktury SAP.
Na czym polega zagrożenie?
Nieuwierzytelniony użytkownik może wykorzystać błędy logiczne prowadzące do uszkodzenia pamięci. Może to skutkować problemami takimi jak przepełnienie bufora, przepełnienie sterty, wycieki pamięci, wiszące wskaźniki czy dereferencje null pointer.
Zakres podatności:
- ICM w SAP NetWeaver Application Server ABAP i Java
- SAP Web Dispatcher (samodzielny i osadzony)
- SAP Content Server
- SAP HANA XSA (wersje poniżej 1.4.0)
Wyłączenia:
- SAP Web Dispatcher w HANA XSC nie jest dotknięty
- SAP HANA XSA w wersji 1.4.0 i wyższej nie jest dotknięty
Rozwiązanie:
Poprawka jest dostarczana przez:
- SAPWEBDISP.SAR (dla samodzielnego Web Dispatcher)
- dw.sar (hotfix)
- SAPEXE.SAR i SAPEXEDB.SAR (SP Stack Kernel)
- SAPCS.SAR (dla SAP Content Server)
Jeśli Web Dispatcher jest zainstalowany przed SAP NetWeaver Application Server, oba komponenty muszą zostać zpatchowane.
Workaround: Brak.
8. Missing Authorization Check w SAP S/4HANA Private Cloud – Financials General Ledger (CVE-2025-42876)
SAP Note: 3672151 CVSS: 7.1/10 Komponent: FI-GL-GL-G
Poważna podatność dotycząca kontroli autoryzacji w module finansowym S/4HANA.
Na czym polega zagrożenie?
Uwierzytelniony atakujący z autoryzacją ograniczoną do pojedynczej jednostki organizacyjnej (company code) może:
- Odczytywać wrażliwe dane ze wszystkich jednostek organizacyjnych
- Księgować lub modyfikować dokumenty we wszystkich jednostkach organizacyjnych
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: Low
- User Interaction: None
- Confidentiality Impact: High
- Integrity Impact: Low
- Availability Impact: None
Przyczyna:
Zmiana w logice ECS wprowadziła błąd programistyczny.
Rozwiązanie:
Dotknięte funkcje zostały poprawione, aby prawidłowo sprawdzać ograniczenia dostępu. Należy wdrożyć Correction Instructions lub Support Packages wskazane w nocie.
Workaround: Jako tymczasowe rozwiązanie można wdrożyć zmiany zgodnie z funkcjonalną notą SAP 3673002.
📋 ŚREDNI PRIORYTET – CVSS 4.0-6.9
9. Missing Authentication check w SAP NetWeaver Internet Communication Framework (CVE-2025-42875)
SAP Note: 3591163 CVSS: 6.6/10 Komponent: BC-MID-ICF
Podatność związana z brakiem prawidłowego uwierzytelnienia w SAP ICF.
Na czym polega zagrożenie?
SAP Internet Communication Framework nie przeprowadza kontroli uwierzytelnienia dla funkcji wymagających identyfikacji użytkownika. Atakujący z wysokimi uprawnieniami może ponownie wykorzystać tokeny autoryzacji, naruszając bezpieczne praktyki uwierzytelniania.
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: High
- User Interaction: None
- Scope: Changed
- Wpływ na C/I/A: Low/Low/Low
Rozwiązanie:
Poprawka zapewnia prawidłowe resetowanie tożsamości użytkownika. Należy wdrożyć Correction Instructions lub Support Packages.
Workaround: Brak.
10. Information Disclosure w Application Server ABAP (CVE-2025-42904)
SAP Note: 3662324 CVSS: 6.5/10 Komponent: BC-ABA-LI
Podatność ujawnienia informacji w AS ABAP.
Na czym polega zagrożenie?
Uwierzytelniony atakujący może odczytać odmaskowane wartości wyświetlane w listach ABAP. Skuteczna eksploatacja prowadzi do nieautoryzowanego ujawnienia danych.
Przyczyna:
Problem jest regresją wprowadzoną przez notę SAP 3633999. Jeśli zastosowano patch kernelowy z tej noty, maskowanie list ABAP było zawsze pomijane.
Kto jest dotknięty?
- Jeśli poziom patcha kernela jest poniżej poziomu z noty 3633999 – nie jesteś dotknięty
- Jeśli poziom patcha kernela odpowiada nocie 3633999 i jest poniżej poziomu z tej noty bezpieczeństwa – jesteś dotknięty
Rozwiązanie:
Poprawka przywraca maskowanie w listach ABAP i cofa regresję. Dotyczy kerneli: 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.17.
Workaround: Brak.
11. Cross-Site Scripting (XSS) w SAP NetWeaver Enterprise Portal (CVE-2025-42872)
SAP Note: 3662622 CVSS: 6.1/10 Komponent: EP-CON-SAP
Reflected XSS w portalu SAP NetWeaver Enterprise Portal.
Na czym polega zagrożenie?
Nieuwierzytelniony atakujący może wstrzyknąć złośliwe skrypty, które wykonują się w kontekście przeglądarek innych użytkowników. Pozwala to na:
- Kradzież ciasteczek sesji
- Kradzież tokenów
- Przechwytywanie innych wrażliwych informacji
Przyczyna:
Parametry URL nie były prawidłowo kodowane.
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: None
- User Interaction: Required
- Scope: Changed
- Confidentiality/Integrity Impact: Low
- Availability Impact: None
Rozwiązanie:
Parametry URL są teraz prawidłowo kodowane, aby zapobiec skutecznym atakom XSS. Należy wdrożyć Support Packages i Patches wskazane w nocie.
Workaround: Brak.
12. Denial of Service (DoS) w SAPUI5 framework – Markdown-it component (CVE-2025-42873)
SAP Note: 3676970 CVSS: 5.9/10 Komponent: CA-UI5-CTR-ROD
Podatność DoS w komponencie używanym przez SAPUI5 i OpenUI5.
Na czym polega zagrożenie?
Pakiety SAPUI5 (i OpenUI5) używają przestarzałych bibliotek firm trzecich ze znanymi podatnościami. Gdy markdown-it napotka specjalnie spreparowane, zniekształcone dane wejściowe, nie kończy działania prawidłowo, powodując nieskończoną pętlę.
Skutki:
- Wysokie zużycie CPU
- Brak responsywności systemu
- Zablokowany wątek przetwarzania
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: High
- Privileges Required: None
- User Interaction: None
- Confidentiality/Integrity Impact: None
- Availability Impact: High
Rozwiązanie:
Aktualizacja biblioteki markdown-it do najnowszej wersji. Minimalne wersje SAPUI5 z poprawką:
SAP_UI SAPUI5 Patch Level
755 – 1.84.56
756 – 1.96.44
757 – 1.108.47
758 – 1.120.37
816 – 1.136.9
Cloud – 1.139.1
Dla SAPUI5 master codeline poprawka jest dostępna od wersji 1.141.0.
Workaround: Wymaga manual activities – szczegóły w nocie.
13. Missing Authorization check w SAP Enterprise Search for ABAP (CVE-2025-42891)
SAP Note: 3659117 CVSS: 5.5/10 Komponent: BC-EIM-ESH
Brak kontroli autoryzacji w SAP Enterprise Search.
Na czym polega zagrożenie?
Atakujący z wysokimi uprawnieniami może odczytać i wyeksportować zawartość tabel bazy danych do raportu ABAP.
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: High
- User Interaction: None
- Confidentiality Impact: High
- Integrity Impact: Low
- Availability Impact: None
Przyczyna:
Brak kontroli autoryzacji dla dostępu do określonych tabel bazy danych.
Rozwiązanie:
Poprawka usuwa zawartość raportu. Należy wdrożyć Correction Instructions lub odpowiednie Support Packages & Patches.
Workaround: Brak.
14. Server-Side Request Forgery (SSRF) w SAP BusinessObjects Business Intelligence Platform (CVE-2025-42896)
SAP Note: 3651390 CVSS: 5.4/10 Komponent: BI-BIP-INV
Podatność SSRF w platformie SAP BusinessObjects BI.
Na czym polega zagrożenie?
Nieuwierzytelniony zdalny atakujący może wysyłać spreparowane żądania przez parametr URL kontrolujący komunikat błędu strony logowania. Może to spowodować, że serwer pobierze URL-e dostarczone przez atakującego.
Wektor ataku (CVSS v3.0):
- Attack Vector: Network
- Attack Complexity: Low
- Privileges Required: None
- User Interaction: Required
- Confidentiality/Integrity Impact: Low
- Availability Impact: None
Przyczyna:
Niewystarczająca walidacja danych wejściowych dostarczonych przez użytkownika w parametrze URL.
Rozwiązanie:
Poprawka waliduje i sanityzuje parametry URL strony logowania, aby zapobiec nieautoryzowanym żądaniom. Należy wdrożyć Support Packages wskazane w nocie.
Informacje o harmonogramie utrzymania Business Intelligence Platform dostępne w Knowledge Base Article 2144559.
Workaround: Brak.
#SAP #Cybersecurity #SecurityPatchDay #SAPSecurity #ITSecurity #SAPBasis #Vulnerabilities #PatchManagement #SNOK #SAPNetWeaver #S4HANA #SAPCommerce #InfoSec