11 lutego 2025 r. SAP opublikowało ostrzeżenia dotyczące bezpieczeństwa, aby rozwiązać problemy z lukami w zabezpieczeniach wielu produktów. Obejmowały one aktualizacje dla następujących produktów:
• Biblioteka – @sap/approuter – wersja 2.6.1 do 16.7.1
• Platforma SAP BusinessObjects Business Intelligence (Central Management Console) – wersje ENTERPRISE 430 i 2025
• SAP Enterprise Project Connection – wersja 3.0
• SAP NetWeaver AS Java (User Admin Application) Wersja – wersja 7.50
• SAP Supplier Relationship Management (Master Data Management Catalog) – wersja SRM_MDM_CAT 7.52
| Notatka | Opis | Krytyczność | CVSS |
| 3417627 | Aktualizacja notatki bezpieczeństwa wydana w dniu aktualizacji w lutym 2024 r.: [CVE-2024-22126] Luka w zabezpieczeniach Cross Site Scripting w NetWeaver AS Java (aplikacja administratora użytkownika) Produkt — SAP NetWeaver AS Java (aplikacja administratora użytkownika), wersja — 7.50 | Wysoka | 8.8 |
| 3525794 | [CVE-2025-0064] Nieprawidłowa autoryzacja na platformie SAP BusinessObjects Business Intelligence (Central Management Console) Produkt — platforma SAP BusinessObjects Business Intelligence (Central Management Console), wersje — ENTERPRISE 430, 2025 | Wysoka | 8.7 |
| 3567551 | [CVE-2025-25243] Luka w zabezpieczeniach związana z przemierzaniem ścieżki w systemie SAP Supplier Relationship Management (Master Data Management Catalog) Produkt – SAP Supplier Relationship Management (katalog Master Data Management), wersja – SRM_MDM_CAT 7.52 | Wysoka | 8.6 |
| 3567974 | [CVE-2025-24876] Authentication bypass via authorization code injection in SAP Approuter Library – @sap/approuter, Version – 2.6.1 to 16.7.1 | Wysoka | 8.1 |
| 3567172 | [CVE-2025-24876] Ominięcie uwierzytelniania poprzez wstrzyknięcie kodu autoryzacyjnego w SAP Approuter Biblioteka – @sap/approuter, Wersja – 2.6.1 do 16.7.1 | Wysoka | 7.5 |
| 3563929 | [CVE-2025-24868] Luka Open Redirect w rozszerzonych usługach aplikacji SAP HANA, model zaawansowany (konto użytkownika i usługi uwierzytelniania) Produkt – rozszerzone usługi aplikacji SAP HANA, model zaawansowany (konto użytkownika i usługi uwierzytelniania), wersja – SAP_EXTENDED_APP_SERVICES 1 | Wysoka | 7.1 |
| 3555364 | [CVE-2025-24875] SameSite Defense in Depth nie zastosowano do niektórych plików cookie w SAP Commerce Produkt — SAP Commerce, wersje — HY_COM 2205, COM_CLOUD 2211 | Średnia | 6.8 |
| 3559510 | [CVE-2025-24874] Brak głębokiej obrony przed Clickjackingiem w SAP Commerce (Backoffice) Produkt – SAP Commerce (Backoffice), Wersja – HY_COM 2205, COM_CLOUD 2211 | Średnia | 6.8 |
| 3557138 | Aktualizacja 1 do notatki bezpieczeństwa 3417627 – [CVE-2024-22126] Luka w zabezpieczeniach Cross Site Scripting w NetWeaver AS Java (aplikacja administratora użytkownika) Produkt – SAP NetWeaver AS Java (aplikacja administratora użytkownika), wersja – 7.50 | Średnia | 6.1 |
| 3445708 | [CVE-2025-24867] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w platformie SAP BusinessObjects Business Intelligence (BI Launchpad) Produkt — SAP BusinessObjects Platform (BI Launchpad), wersja — ENTERPRISE 430, 2025 | Średnia | 6.1 |
| 3562336 | [CVE-2025-24870] Niebezpieczna luka w zabezpieczeniach Key & Secret Management w SAP GUI dla Windows Produkt — SAP GUI dla Windows, wersja — BC-FES-GUI 8.00 | Średnia | 6.0 |
| 3540273 | Wiele luk w Apache Solr w SAP Commerce Cloud Powiązane CVE – CVE-2024-45216, CVE-2024-45217 Produkt – SAP Commerce Cloud, Wersje – HY_COM 2205, COM_CLOUD 2211 | Średnia | 5.5 |
| 3526203 | [CVE-2025-0054] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP NetWeaver Application Server Java Produkt — SAP NetWeaver Application Server Java, wersje — EP-BASIS 7.50, FRAMEWORK-EXT 7.50 | Średnia | 5.4 |
| 3532025 | [CVE-2025-25241] Brak kontroli autoryzacji w bibliotece referencyjnej aplikacji SAP Fiori (Moje prośby o nadgodziny) Produkt — biblioteka referencyjna aplikacji SAP Fiori (Moje prośby o nadgodziny), wersja — GBX01HR5 605 | Średnia | 5.4 |
| 3546470 | [CVE-2025-23187] Brak kontroli autoryzacji w SAP NetWeaver i ABAP Platform (SDCCN) Powiązane CVE – CVE-2025-23189 Produkt – SAP NetWeaver i ABAP Platform (SDCCN), wersje – ST-PI 2008_1_700, ST-PI 2008_1_710, ST-PI 740 | Średnia | 5.3 |
| 3561264 | [CVE-2025-23193] Luka w zabezpieczeniach ujawniania informacji w SAP NetWeaver Application Server ABAP Produkt — SAP NetWeaver Server ABAP, wersje — SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 | Średnia | 5.3 |
| 3287784 | Aktualizacja notatki bezpieczeństwa wydana w dniu aktualizacji w kwietniu 2023 r.: [CVE-2023-24527] Nieprawidłowa kontrola dostępu w SAP NetWeaver AS Java for Deploy Service Produkt — SAP NetWeaver AS Java for Deploy Service, wersja — ENGINEAPI 7.50, SERVERCORE 7.50 | Średnia | 5.3 |
| 3550027 | [CVE-2025-24869] Luka w zabezpieczeniach ujawniania informacji w SAP NetWeaver Application Server Java Produkt – SAP NetWeaver Application Server Java, wersja – WD-RUNTIME 7.50 | Średnia | 4.3 |
| 3553753 | [CVE-2025-24872] Brak kontroli autoryzacji w SAP ABAP Platform (ABAP Build Framework) Produkt – SAP ABAP Platform (ABAP Build Framework), wersje – SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 | Średnia | 4.3 |
| 3547581 | [CVE-2025-23190] Brak kontroli autoryzacji w SAP NetWeaver i platformie ABAP (ST-PI) Produkt – SAP NetWeaver i platforma ABAP (ST-PI), Wersja – ST-PI 2008_1_700, ST-PI 2008_1_710, ST-PI 740 | Średnia | 4.3 |
| 3426825 | [CVE-2025-23191] Luka w zabezpieczeniach Cache Poisoning poprzez manipulację nagłówkiem w SAP Fiori dla SAP ERP Produkt – SAP Fiori dla SAP ERP, Wersja – SAP_GWFND 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 | Niska | 3.1 |
