Kritische Schwachstellen in SAP Visual Composer erfordern sofortiges Patching

HotNews Notes im Detail

Die SAP Security Note #3594142, die mit dem höchstmöglichen CVSS-Score von 10.0 versehen ist, wurde am 24. April von SAP in einem Emergency Release veröffentlicht. Der Hinweis behebt eine kritische Schwachstelle in SAP Visual Composer („Missing Authorization Check“), die unter CVE-2025-31324geführt wird. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, potenziell böswillig ausführbare Programmdateien hochzuladen, die das Hostsystem schwer schädigen können. Ein Emergency Release war erforderlich, da SAP und externe Forschungsorganisationen bereits aktive Exploits der Schwachstelle identifiziert hatten.

Am 29. April 2025 nahm die CISA die Sicherheitslücke in ihren „Known Exploited Vulnerabilities Catalog“ auf.

Die Angreifer nutzen öffentliche Informationen, um Exploits auszulösen und Webshells zu missbrauchen, die von den ursprünglichen – inzwischen untergetauchten – Angreifern stammen. Die Onapsis Research Labs (ORL) und andere Sicherheitsfirmen sehen Anzeichen für weitere Angreifer, die bestehende Webshells aus der vorherigen Angriffskampagne nutzen, um neue Angriffe zu starten. ORL hat unter anderem einen Open-Source-Scanner für CVE-2025-31324 für alle SAP-Kunden veröffentlicht.

Während der Analyse der Angriffe im Zusammenhang mit CVE-2025-31324 konnten die ORL zusätzliche Informationen über das Vorgehen der Angreifer an SAP übermitteln. SAP hat sehr schnell auf diese neuen Informationen reagiert und einen zusätzlichen Patch zur Verfügung gestellt, um den Schutz vor dem aktiven Exploit zu verbessern. Die SAP Security Note #3604119, bewertet mit einem CVSS-Score von 9.1, behebt die entsprechende Schwachstelle in der Deserialisierung. Es wird dringend empfohlen, das entsprechende FAQ-Dokument 3605597 und den beigefügten KBA-Hinweis #3593336 zu lesen. Da beide HotNews-Hinweise, #3594142 und #3604119, nur automatisierte Korrekturen für SAP NetWeaver Java AS 7.50 enthalten, umfasst der KBA-Hinweis wichtige Instruktionen für Kunden mit früheren Versionen.

Die HotNews-Hinweise #3587115 und #3581961, jeweils mit CVSS-Score 9.9, sind Aktualisierungen von Patches, die ursprünglich zum SAP April Patch Day veröffentlicht wurden. Die SAP Security Note #3587115 behebt eine Code-Injection-Schwachstelle in SAP Landscape Transformation. Das Update enthält nun auch Patches für die zusätzlichen Softwarekomponenten-Versionen DMIS 2018 und DMIS 2020. Bei der SAP Security Note #3581961 hat SAP lediglich den Titel aktualisiert, um darauf hinzuweisen, dass auch On-Premise-Installationen von S/4HANA von der Sicherheitslücke betroffen sind.

High Priority Notes im Detail

Die SAP Security Note #3578900, mit einem CVSS-Score von 8.6, behebt fünf Schwachstellen in SAP Supplier Relationship Management (Live Auction Cockpit), vier davon in Zusammenarbeit mit den Onapsis Research Labs (ORL). Die Schwachstellen betreffen eine ältere Version des Live Auction Cockpits, die auf der Java-Applet-Technologie basiert. Sie wirken sich hauptsächlich auf die Vertraulichkeit der Anwendung aus. Diese Version des Cockpits ist nicht mehr aktuell und wurde in SRM_SERVER 7.0 EHP4 SP06 und in neuen Installationen von SRM 7.14 ersetzt. Bei bestehenden Integrationen von SRM 7.14 kann die betroffene Software-Komponentenversion SAP LACWPS 6.0 NW7.3 nicht mehr eingesetzt werden.

Die SAP Security Note #3600859 (CVSS-Score: 8.3) behebt eine Code Injection-Schwachstelle in SAP S/4HANA Cloud Private Edition und On Premise. Ein remote-fähiges Funktionsmodul der SCM Master Data Layer (MDL)-Anwendung ermöglicht es einem nicht authentifizierten Angreifer, beliebige ABAP-Programme, einschließlich SAP-Standardprogramme, zu ersetzen. Der Patch deaktiviert den Funktionsmodul vollständig.

Die SAP Security Note #3586013, gekennzeichnet mit einem CVSS-Score von 7.9, adressiert eine Information Disclosure-Schwachstelle im Promotion Management Wizard (PMW) der SAP Business Objects Business Intelligence Platform. Die Verzeichnis- und Dateidialoge ermöglichen den Zugriff auf bestimmte ausführbare Dateien, mit denen auf normalerweise gesperrte Informationen zugegriffen werden kann. Dies hat hohe Auswirkungen auf die Vertraulichkeit sowie geringe Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

Die SAP Security Note #3591978, die mit einem CVSS-Score von 7.7 versehen ist, wurde von SAP in Zusammenarbeit mit den Onapsis Research Labs veröffentlicht. Das Team der Onapsis Research Labs (ORL) identifizierte ein remote-fähiges Funktionsmodul im PCL-Basismodul von SAP Landscape Transformation, das nicht die erforderlichen Berechtigungsprüfungen durchführt, um den Zugriff auf die bereitgestellten Funktionen und Daten zu beschränken.

Bei der mit einem CVSS-Score von 7.7 bewertete SAP Security Note #3483344handelt es sich um das vierte Update eines Patches, der ursprünglich im Juli 2024 in Zusammenarbeit mit Onapsis veröffentlicht wurde. Der Patch, der eine Sicherheitslücke in SAP PDCE behebt, ist nun für weitere Softwarekomponenten und Support Package Level verfügbar.