Kritische Sicherheitslücken in drei SAP-Produkten
- Warnmeldung
SAP schließt kritische Schwachstellen in seinen Produkten SQL Anywhere Monitor, NetWeaver AS Java und Solution Manager. Betreibende sollten die verfügbaren Patches zeitnah einspielen.
© Andreas Prott – stock.adobe.com
Updates verfügbar
Die Patches, die der Hersteller zur Verfügung stellt, schließen folgende Schwachstellen:
- CVE-2025-42890 (EUVD-2025-60988)
- Produkt: SQL Anywhere Monitor (Non-GUI)
- CVSS-Base-Score: 10.0/10.0
- RCE möglich (Remote Code Execution) aufgrund unzureichenden Credential-Schutzes
- CVE-2025-42944 (EUVD-2025-27196)
- Produkt: NetWeaver AS Java
- CVSS-Base-Score: 10.0/10.0
- OS-Befehlsausführung möglich aufgrund unzureichender Deserialisierung
- CVE-2025-42887 (EUVD-2025-60991)
- Produkt: Solution Manager
- CVSS-Base-Score: 9.9/10.0
- Angreifende können bösartigen Code einschleusen und so das System übernehmen.
Diese drei kritischen Lücken schließt SAP mit dem November-Patchday. Im Zuge desselben Patchdays stellt der Hersteller außerdem Updates für Sicherheitslücken in weiteren Produkten bereit.
Empfehlung des Herstellers
SAP empfiehlt, die bereitgestellten Patches schnellstmöglich zu installieren. Weitere Informationen und eine vollständige Liste aller Schwachstellen finden Sie in der Wissensdatenbank von SAP (siehe Link unten).