📅 8 kwietnia SAP opublikował nowy pakiet poprawek bezpieczeństwa. Wśród łącznie 20 not bezpieczeństwa (18 nowych i 2 zaktualizowanych) znajdują się aż 3 krytyczne podatności, które wymagają natychmiastowej reakcji.
Poniżej przegląd najważniejszych zagrożeń oraz pełna lista opublikowanych aktualizacji:
Krytyczne podatności
1️⃣ [CVE-2025-27429] - Code Injection w SAP S/4HANA (Private Cloud)
**SAP Note:**3581961 CVSS: 9.9 / 10 Komponent: CA-LT-ANA
SAP S/4HANA pozwala atakującemu z uprawnieniami użytkownika na wykorzystanie podatności w module funkcyjnym dostępnym przez RFC. Luka umożliwia wstrzyknięcie dowolnego kodu ABAP z pominięciem kluczowych mechanizmów autoryzacyjnych. W efekcie może dojść do pełnego przejęcia systemu, naruszając poufność, integralność i dostępność danych. 🔧 Brak obejścia - konieczne jest zaimplementowanie poprawek z SAP Note.
2️⃣ [CVE-2025-31330] - Code Injection w SAP LT Analysis (RFC)
SAP Note: 3587115 (wg SecurityBridge) CVSS: 9.9 / 10 Komponent: CA-LT-ANA
Podatność pozwala zdalnemu użytkownikowi na wykonanie dowolnego kodu w systemie SAP LT Analysis za pomocą niedostatecznie zabezpieczonego interfejsu RFC. 🔧 Brak obejścia - konieczne jest zaimplementowanie poprawek z SAP Note.
3️⃣ [CVE-2025-30016] - Authentication Bypass w SAP Financial Consolidation
SAP Note: 3572688 CVSS: 9.8 / 10 Komponent: EPM-BFC-TCL-ADM-SEC
SAP Financial Consolidation umożliwia atakującemu nieposiadającemu żadnych uprawnień zalogowanie się jako administrator. Przyczyną jest niewystarczająco wzmocniony mechanizm uwierzytelniania, który pozwala na ominięcie zabezpieczeń. Luka wpływa krytycznie na poufność, integralność i dostępność aplikacji. 🔧 Brak obejścia - SAP udostępnił łatki poprzez implementację poprawek z noty do wersji 10.1 SP009 i SP010.
Pozostałe poprawki z kwietniowego SAP Security Patch Day:
🟥 Wysoki priorytet:
-
8.8 - Wysoki - 3525794 - [CVE-2025-0064] Improper Authorization in SAP BusinessObjects Business Intelligence platform
-
8.5 - Wysoki - 3554667 - [CVE-2025-23186] Mixed Dynamic RFC Destination vulnerability through Remote Function Call (RFC) in SAP NetWeaver Application Server ABAP
-
8.1 - Wysoki - 3590984 - [CVE-2024-56337] Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat within SAP Commerce Cloud
-
7.7 - Wysoki - 2927164 - [CVE-2025-30014] Directory Traversal vulnerability in SAP Capital Yield Tax Management
-
7.7 - Wysoki - 3581811 - [CVE-2025-27428] Directory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection)
🟨 Średni i niski priorytet:
-
6.8 - Średni - 3543274 - [CVE-2025-26654] Potential information disclosure vulnerability in SAP Commerce Cloud (Public Cloud)
-
6.7 - Średni - 3571093 - [CVE-2025-30013] Code Injection vulnerability in SAP ERP BW Business Content
-
6.6 - Średni - 3565751 - [CVE-2025-31332] Insecure File permissions vulnerability in SAP BusinessObjects Business Intelligence Platform
-
5.3 - Średni - 3568307 - [CVE-2025-26657] Information Disclosure vulnerability in SAP KMC WPC
-
4.7 - Średni - 3559307 - [CVE-2025-26653] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Application Server ABAP (applications based on SAP GUI for HTML)
-
4.4 - Średni - 3558864 - [CVE-2025-30017] Missing Authorization check in SAP Solution Manager
-
4.3 - Średni - 3525971 - [CVE-2025-31333] Odata meta-data tampering in SAP S4CORE entity
-
4.3 - Średni - 3568778 - [CVE-2025-27437] Missing Authorization check in SAP NetWeaver Application Server ABAP (Virus Scan Interface)
-
4.3 - Średni - 3577131 - [CVE-2025-31331] Authorization Bypass vulnerability in SAP NetWeaver
-
4.2 - Średni - 3539465 - [CVE-2025-27435] Information Disclosure Vulnerability in SAP Commerce Cloud
-
4.1 - Średni - 3565944 - [CVE-2025-30015] Memory Corruption vulnerability in SAP NetWeaver and ABAP Platform (Application Server ABAP)
-
3.5 - Niski - 3561861 - [CVE-2025-27430] Server Side Request Forgery (SSRF) in SAP CRM and SAP S/4 HANA (Interaction Center)
W obliczu rosnących zagrożeń, szybkie reagowanie na krytyczne luki bezpieczeństwa jest kluczowym elementem strategii ochrony danych. Dzięki wiedzy i doświadczeniu konsultantów SNOK, firmy mogą nie tylko zareagować na wykryte zagrożenia, ale również proaktywnie je eliminować, minimalizując ryzyko i zapewniając bezpieczeństwo swoich systemów. Ich rola w monitorowaniu, analizie i reagowaniu na zmieniające się zagrożenia jest nieoceniona, a ich działania mają bezpośredni wpływ na stabilność oraz reputację organizacji.