Przejdź do treści

Bezpieczny Wtorek ze SNOK – SAP Security Patch Day (Kwiecień 2025)

📅 8 kwietnia SAP opublikował nowy pakiet poprawek bezpieczeństwa. Wśród łącznie 20 not bezpieczeństwa (18 nowych i 2 zaktualizowanych) znajdują się aż 3…

📅 8 kwietnia SAP opublikował nowy pakiet poprawek bezpieczeństwa. Wśród łącznie 20 not bezpieczeństwa (18 nowych i 2 zaktualizowanych) znajdują się aż 3 krytyczne podatności, które wymagają natychmiastowej reakcji.

Poniżej przegląd najważniejszych zagrożeń oraz pełna lista opublikowanych aktualizacji:

Krytyczne podatności

1️⃣ [CVE-2025-27429] - Code Injection w SAP S/4HANA (Private Cloud)

**SAP Note:**3581961 CVSS: 9.9 / 10 Komponent: CA-LT-ANA

SAP S/4HANA pozwala atakującemu z uprawnieniami użytkownika na wykorzystanie podatności w module funkcyjnym dostępnym przez RFC. Luka umożliwia wstrzyknięcie dowolnego kodu ABAP z pominięciem kluczowych mechanizmów autoryzacyjnych. W efekcie może dojść do pełnego przejęcia systemu, naruszając poufność, integralność i dostępność danych. 🔧 Brak obejścia - konieczne jest zaimplementowanie poprawek z SAP Note.

2️⃣ [CVE-2025-31330] - Code Injection w SAP LT Analysis (RFC)

SAP Note: 3587115 (wg SecurityBridge) CVSS: 9.9 / 10 Komponent: CA-LT-ANA

Podatność pozwala zdalnemu użytkownikowi na wykonanie dowolnego kodu w systemie SAP LT Analysis za pomocą niedostatecznie zabezpieczonego interfejsu RFC. 🔧 Brak obejścia - konieczne jest zaimplementowanie poprawek z SAP Note.

3️⃣ [CVE-2025-30016] - Authentication Bypass w SAP Financial Consolidation

SAP Note: 3572688 CVSS: 9.8 / 10 Komponent: EPM-BFC-TCL-ADM-SEC

SAP Financial Consolidation umożliwia atakującemu nieposiadającemu żadnych uprawnień zalogowanie się jako administrator. Przyczyną jest niewystarczająco wzmocniony mechanizm uwierzytelniania, który pozwala na ominięcie zabezpieczeń. Luka wpływa krytycznie na poufność, integralność i dostępność aplikacji. 🔧 Brak obejścia - SAP udostępnił łatki poprzez implementację poprawek z noty do wersji 10.1 SP009 i SP010.

Pozostałe poprawki z kwietniowego SAP Security Patch Day:

🟥 Wysoki priorytet:

  • 8.8 - Wysoki - 3525794 - [CVE-2025-0064] Improper Authorization in SAP BusinessObjects Business Intelligence platform

  • 8.5 - Wysoki - 3554667 - [CVE-2025-23186] Mixed Dynamic RFC Destination vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP

  • 8.1 - Wysoki - 3590984 - [CVE-2024-56337] Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat within SAP Commerce Cloud

  • 7.7 - Wysoki - 2927164 - [CVE-2025-30014] Directory Traversal vulnerability in SAP Capital Yield Tax Management

  • 7.7 - Wysoki - 3581811 - [CVE-2025-27428] Directory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection)

🟨 Średni i niski priorytet:

  • 6.8 - Średni - 3543274 - [CVE-2025-26654] Potential information disclosure vulnerability in SAP Commerce Cloud (Public Cloud)

  • 6.7 - Średni - 3571093 - [CVE-2025-30013] Code Injection vulnerability in SAP ERP BW Business Content

  • 6.6 - Średni - 3565751 - [CVE-2025-31332] Insecure File permissions vulnerability in SAP BusinessObjects Business Intelligence Platform

  • 5.3 - Średni - 3568307 - [CVE-2025-26657] Information Disclosure vulnerability in SAP KMC WPC

  • 4.7 - Średni - 3559307 - [CVE-2025-26653] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML)

  • 4.4 - Średni - 3558864 - [CVE-2025-30017] Missing Authorization check in SAP Solution Manager

  • 4.3 - Średni - 3525971 - [CVE-2025-31333] Odata meta-data tampering in SAP S4CORE entity

  • 4.3 - Średni - 3568778 - [CVE-2025-27437] Missing Authorization check in SAP NetWeaver Application Server ABAP (Virus Scan Interface)

  • 4.3 - Średni - 3577131 - [CVE-2025-31331] Authorization Bypass vulnerability in SAP NetWeaver

  • 4.2 - Średni - 3539465 - [CVE-2025-27435] Information Disclosure Vulnerability in SAP Commerce Cloud

  • 4.1 - Średni - 3565944 - [CVE-2025-30015] Memory Corruption vulnerability in SAP NetWeaver and ABAP Platform (Application Server ABAP)

  • 3.5 - Niski - 3561861 - [CVE-2025-27430] Server Side Request Forgery (SSRF) in SAP CRM and SAP S/4 HANA (Interaction Center)

W obliczu rosnących zagrożeń, szybkie reagowanie na krytyczne luki bezpieczeństwa jest kluczowym elementem strategii ochrony danych. Dzięki wiedzy i doświadczeniu konsultantów SNOK, firmy mogą nie tylko zareagować na wykryte zagrożenia, ale również proaktywnie je eliminować, minimalizując ryzyko i zapewniając bezpieczeństwo swoich systemów. Ich rola w monitorowaniu, analizie i reagowaniu na zmieniające się zagrożenia jest nieoceniona, a ich działania mają bezpośredni wpływ na stabilność oraz reputację organizacji.

Źródło:SAP Security Patch Day - April 2025

Skontaktuj się z nami