Bezpieczny Wtorek ze SNOK – SAP Security Patch Day (Kwiecień 2025)

Bezpieczny Wtorek ze SNOK, Cybersecurity, SAP, SAP Security

Bezpieczny Wtorek ze SNOK – SAP Security Patch Day (Kwiecień 2025)

8 kwietnia, 202512 czerwca, 2025
Bezpieczny Wtorek ze SNOK – SAP Security Patch Day (Kwiecień 2025)

📅 8 kwietnia SAP opublikował nowy pakiet poprawek bezpieczeństwa. Wśród łącznie 20 not bezpieczeństwa (18 nowych i 2 zaktualizowanych) znajdują się aż 3 krytyczne podatności, które wymagają natychmiastowej reakcji.

Poniżej przegląd najważniejszych zagrożeń oraz pełna lista opublikowanych aktualizacji:

Krytyczne podatności

1️⃣ [CVE-2025-27429] – Code Injection w SAP S/4HANA (Private Cloud)

SAP Note: 3581961 CVSS: 9.9 / 10 Komponent: CA-LT-ANA

SAP S/4HANA pozwala atakującemu z uprawnieniami użytkownika na wykorzystanie podatności w module funkcyjnym dostępnym przez RFC. Luka umożliwia wstrzyknięcie dowolnego kodu ABAP z pominięciem kluczowych mechanizmów autoryzacyjnych. W efekcie może dojść do pełnego przejęcia systemu, naruszając poufność, integralność i dostępność danych. 🔧 Brak obejścia – konieczne jest zaimplementowanie poprawek z SAP Note.

2️⃣ [CVE-2025-31330] – Code Injection w SAP LT Analysis (RFC)

SAP Note: 3587115 (wg SecurityBridge) CVSS: 9.9 / 10 Komponent: CA-LT-ANA

Podatność pozwala zdalnemu użytkownikowi na wykonanie dowolnego kodu w systemie SAP LT Analysis za pomocą niedostatecznie zabezpieczonego interfejsu RFC. 🔧 Brak obejścia – konieczne jest zaimplementowanie poprawek z SAP Note.

3️⃣ [CVE-2025-30016] – Authentication Bypass w SAP Financial Consolidation

SAP Note: 3572688 CVSS: 9.8 / 10 Komponent: EPM-BFC-TCL-ADM-SEC

SAP Financial Consolidation umożliwia atakującemu nieposiadającemu żadnych uprawnień zalogowanie się jako administrator. Przyczyną jest niewystarczająco wzmocniony mechanizm uwierzytelniania, który pozwala na ominięcie zabezpieczeń. Luka wpływa krytycznie na poufność, integralność i dostępność aplikacji. 🔧 Brak obejścia – SAP udostępnił łatki poprzez implementację poprawek z noty do wersji 10.1 SP009 i SP010.

Pozostałe poprawki z kwietniowego SAP Security Patch Day:

🟥 Wysoki priorytet:

  • 8.8 – Wysoki – 3525794 – [CVE-2025-0064] Improper Authorization in SAP BusinessObjects Business Intelligence platform

  • 8.5 – Wysoki – 3554667 – [CVE-2025-23186] Mixed Dynamic RFC Destination vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

  • 8.1 – Wysoki – 3590984 – [CVE-2024-56337] Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat within SAP Commerce Cloud
  • 7.7 – Wysoki – 2927164 – [CVE-2025-30014] Directory Traversal vulnerability in SAP Capital Yield Tax Management
  • 7.7 – Wysoki – 3581811 – [CVE-2025-27428] Directory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection)

    🟨 Średni i niski priorytet:

    • 6.8 – Średni – 3543274 – [CVE-2025-26654] Potential information disclosure vulnerability in SAP Commerce Cloud (Public Cloud)

    • 6.7 – Średni – 3571093 – [CVE-2025-30013] Code Injection vulnerability in SAP ERP BW Business Content

    • 6.6 – Średni – 3565751 – [CVE-2025-31332] Insecure File permissions vulnerability in SAP BusinessObjects Business Intelligence Platform
    • 5.3 – Średni – 3568307 – [CVE-2025-26657] Information Disclosure vulnerability in SAP KMC WPC
    • 4.7 – Średni – 3559307 – [CVE-2025-26653] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML)
    • 4.4 – Średni – 3558864 – [CVE-2025-30017] Missing Authorization check in SAP Solution Manager
    • 4.3 – Średni – 3525971 – [CVE-2025-31333] Odata meta-data tampering in SAP S4CORE entity
    • 4.3 – Średni – 3568778 – [CVE-2025-27437] Missing Authorization check in SAP NetWeaver Application Server ABAP (Virus Scan Interface)
    • 4.3 – Średni – 3577131 – [CVE-2025-31331] Authorization Bypass vulnerability in SAP NetWeaver
    • 4.2 – Średni – 3539465 – [CVE-2025-27435] Information Disclosure Vulnerability in SAP Commerce Cloud
    • 4.1 – Średni – 3565944 – [CVE-2025-30015] Memory Corruption vulnerability in SAP NetWeaver and ABAP Platform (Application Server ABAP)
    • 3.5 – Niski – 3561861 – [CVE-2025-27430] Server Side Request Forgery (SSRF) in SAP CRM and SAP S/4 HANA (Interaction Center)

      W obliczu rosnących zagrożeń, szybkie reagowanie na krytyczne luki bezpieczeństwa jest kluczowym elementem strategii ochrony danych. Dzięki wiedzy i doświadczeniu konsultantów SNOK, firmy mogą nie tylko zareagować na wykryte zagrożenia, ale również proaktywnie je eliminować, minimalizując ryzyko i zapewniając bezpieczeństwo swoich systemów. Ich rola w monitorowaniu, analizie i reagowaniu na zmieniające się zagrożenia jest nieoceniona, a ich działania mają bezpośredni wpływ na stabilność oraz reputację organizacji.

      Źródło: SAP Security Patch Day – April 2025

      SNOK.AI
      Powered by  Zgodności ciasteczek z RODO
      Przegląd prywatności

      Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.