10 czerwca 2025 – Kolejny SAP Security Patch Day za nami! W dzisiejszym wydaniu „Bezpiecznego Wtorku ze SNOK” analizujemy 14 nowych not bezpieczeństwa opublikowanych przez SAP w czerwcu 2025 roku. Tym razem pakiet poprawek koncentruje się na kluczowych komponentach SAP NetWeaver i S/4HANA, z jedną krytyczną podatnością wymagającą natychmiastowej uwagi.
Czym jest SAP Security Patch Day?
SAP Security Patch Day to comiesięczne wydanie not bezpieczeństwa i poprawek przez firmę SAP. Odbywa się to zawsze w drugi wtorek miesiąca – tym razem 10 czerwca 2025 r. Jest to kluczowy element cyklu utrzymania bezpieczeństwa systemów SAP, który pozwala organizacjom systematycznie zabezpieczać swoje środowiska przed nowymi, zidentyfikowanymi lukami.
Regularne wdrażanie tych poprawek jest absolutnie niezbędne dla zachowania bezpieczeństwa infrastruktury SAP – podobnie jak regularne szczepienia chronią przed chorobami, tak poprawki bezpieczeństwa chronią systemy przed coraz bardziej wyrafinowanymi atakami.
Najpoważniejsze zagrożenia z czerwca 2025
W czerwcowym pakiecie poprawek SAP opublikował 14 nowych not bezpieczeństwa, z których kilka zasługuje na szczególną uwagę ze względu na wysoki wskaźnik CVSS (Common Vulnerability Scoring System) oraz potencjalny wpływ na biznes:
🚨 1. Brak kontroli autoryzacji w SAP NetWeaver ABAP (CVE-2025-42989)
CVSS: 9.6 | Priorytet: KRYTYCZNY
Ta podatność o najwyższym priorytecie dotyczy SAP NetWeaver Application Server for ABAP w wersjach KERNEL 7.89, 7.93, 9.14, 9.15. Z oceną CVSS 9.6, stanowi poważne zagrożenie dla integralności i bezpieczeństwa systemów ABAP.
🔓 2. Ujawnianie informacji w SAP GRC (CVE-2025-42982)
CVSS: 8.8 | Priorytet: WYSOKI
Podatność w komponencie AC Plugin systemu SAP GRC (wersje GRCPINW V1100_700, V1100_731) może prowadzić do nieautoryzowanego dostępu do poufnych danych compliance i audytu.
📊 3. Brak kontroli autoryzacji w SAP Business Warehouse (CVE-2025-42983)
CVSS: 8.5 | Priorytet: WYSOKI
Szeroko zakrojona podatność dotycząca SAP Business Warehouse i SAP Plug-In Basis w licznych wersjach (PI_BASIS 2006_1_700 do 740, SAP_BW 750-758, 914, 915). Może umożliwić nieautoryzowany dostęp do danych hurtowni.
🌐 4. Cross-Site Scripting w SAP BusinessObjects (CVE-2025-23192)
CVSS: 8.2 | Priorytet: WYSOKI
Podatność XSS w komponencie BI Workspace może być wykorzystana do przeprowadzenia ataków na użytkowników systemu BusinessObjects w wersjach ENTERPRISE 430, 2025, 2027.
🔄 5. Directory Traversal w SAP NetWeaver Visual Composer (CVE-2025-42977)
CVSS: 7.6 | Priorytet: WYSOKI
Po majowych krytycznych problemach z Visual Composer, czerwca przyniósł kolejną lukę w tym komponencie (VCBASE 7.50) – tym razem związaną z nieautoryzowanym dostępem do plików systemowych.
Pełna lista not bezpieczeństwa z czerwca 2025
| Note# | Title | Priority | CVSS |
|---|---|---|---|
| 3600840 | [CVE-2025-42989] Missing Authorization check in SAP NetWeaver Application Server for ABAP Product – SAP NetWeaver Application Server for ABAP Versions – KERNEL 7.89, 7.93, 9.14, 9.15 |
Critical | 9.6 |
| 3609271 | [CVE-2025-42982] Information Disclosure in SAP GRC (AC Plugin) Product – SAP GRC (AC Plugin) Versions – GRCPINW V1100_700, V1100_731 |
High | 8.8 |
| 3606484 |
[CVE-2025-42983] Missing Authorization check in SAP Business Warehouse and SAP Plug-In Basis Product – SAP Business Warehouse and SAP Plug-In BasisVersions – PI_BASIS 2006_1_700, 701, 702, 731, 740, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 914, 915 |
High | 8.5 |
| 3560693 | [CVE-2025-23192] Cross-Site Scripting (XSS) vulnerability in SAP BusinessObjects Business Intelligence (BI Workspace) Product – SAP BusinessObjects Business Intelligence (BI Workspace) Versions – ENTERPRISE 430, 2025, 2027 |
High | 8.2 |
| 3610591 | [CVE-2025-42977] Directory Traversal vulnerability in SAP NetWeaver Visual Composer Product – SAP NetWeaver Visual Composer Version – VCBASE 7.50 |
High | 7.6 |
| 3610006 |
[CVE-2025-42994] Multiple vulnerabilities in SAP MDM Server Related CVE – CVE-2025-42995, CVE-2025-42996 |
High | 7.5 |
| 3580384 |
[CVE-2025-42993] Missing Authorization Check in SAP S/4HANA (Enterprise Event Enablement) Product – SAP S/4HANA (Enterprise Event Enablement) |
Medium | 6.7 |
| 3590887 |
[CVE-2025-31325] Cross-Site Scripting (XSS) Vulnerability in SAP NetWeaver (ABAP Keyword Documentation) Product- SAP NetWeaver (ABAP Keyword Documentation)Version – SAP_BASIS 758 |
Medium | 5.8 |
| 3441087 |
[CVE-2025-42984] Missing Authorization check in SAP S/4HANA (Manage Central Purchase Contract application) Product – SAP S/4HANA (Manage Central Purchase Contract application) |
Medium | 5.4 |
| 3594258 |
[CVE-2025-42998] Security misconfiguration vulnerability in SAP Business One Integration Framework Product – SAP Business One Integration Framework |
Medium | 5.3 |
| 3596850 | [CVE-2025-42987] Missing Authorization Check in SAP S/4HANA (Manage Processing Rules – For Bank Statement) Product – SAP S/4HANA (Manage Processing Rules – For Bank Statement) Versions – S4CORE 104, 105, 106, 107, 108 |
Medium | 4.3 |
| 3608058 |
[CVE-2025-42991] Missing Authorization check in SAP S/4HANA (Bank Account Application) Product- SAP S/4HANA (Bank Account Application) |
Medium | 4.3 |
| 3585545 | [CVE-2025-42988] Server-Side Request Forgery in SAP Business Objects Business Intelligence Platform Product – SAP Business Objects Business Intelligence Platform Versions – ENTERPRISE 430, 2025, 2027 |
Low | 3.7 |
| 3601169 | [CVE-2025-42990] HTML Injection in Unprotected SAPUI5 applications Product – SAPUI5 applications Versions – SAP_UI 750, 754, 755, 756, 757, 758, UI_700 200 |
Low | 3.0 |
Dlaczego szybkie wdrożenie poprawek jest kluczowe?
W dzisiejszym cyfrowym świecie przestępcy działają błyskawicznie. Często między publikacją podatności a pierwszymi próbami jej wykorzystania mijają zaledwie godziny, a nie dni czy tygodnie. Właśnie dlatego opóźnianie implementacji łatek bezpieczeństwa jest jak pozostawianie otwartych drzwi do sejfu Twojej firmy.
Potrzebujesz wsparcia? Zespół SNOK jest gotowy pomóc!
Bezpieczeństwo systemów SAP to złożone zagadnienie wymagające specjalistycznej wiedzy. Zespół ekspertów SNOK jest gotowy wesprzeć Twoją organizację w skutecznej implementacji czerwcowych poprawek bezpieczeństwa, aby zminimalizować ryzyko cyberzagrożeń – szczególnie w kontekście nadchodzącego sezonu wakacyjnego.
Podsumowanie
Czerwcowy SAP Security Patch Day przyniósł 14 nowych poprawek bezpieczeństwa, z jedną krytyczną podatnością wymagającą natychmiastowej uwagi. CVE-2025-42989 z oceną CVSS 9.6 w NetWeaver ABAP KERNEL to priorytet numer jeden dla każdej organizacji używającej systemów SAP.
Nie czekaj, aż cyberprzestępcy wykorzystają luki w Twoim systemie SAP. Skontaktuj się z nami już dziś, aby omówić, jak możemy pomóc zabezpieczyć Twoje krytyczne systemy biznesowe przed sezonem wakacyjnym.
Artykuł powstał w ramach serii „Bezpieczny Wtorek ze SNOK” – regularnych analiz bezpieczeństwa systemów SAP. Śledź nasze publikacje, aby być na bieżąco z najnowszymi zagrożeniami i sposobami ochrony.
📱 Zostań na bieżąco: Obserwuj SNOK na LinkedIn aby otrzymywać alert o każdym nowym SAP Security Patch Day oraz praktyczne wskazówki dotyczące cyberbezpieczeństwa SAP.