10 czerwca 2025 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa, mające na celu usunięcie luk w zabezpieczeniach wielu produktów. Zawarto aktualizacje dla następujących elementów:
- SAP NetWeaver Application Server dla ABAP – wersje KERNEL 7.89, 7.93, 9.14 i 9.15
- SAP GRC (AC Plugin) – wersje GRCPINW V1100_700 i V1100_731
- SAP Business Warehouse i SAP Plug-In Basis – wersje PI_BASIS 2006_1_700, 701, 702, 731, 740, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 914 i 915
- SAP BusinessObjects Business Intelligence (BI Workspace) – wersje ENTERPRISE 430, 2025 i 2027
- SAP NetWeaver Visual Composer – wersja VCBASE 7.50
- Serwer SAP MDM – wersje MDM_SERVER 710.750
| Link | Opis | Krytyczność | CVSS |
| 3600840 | [CVE-2025-42989] Brak kontroli autoryzacji w SAP NetWeaver Application Server dla ABAP Komponenty: BC-MID-RFC-QT Kategoria: Błąd programu | Krytyczna | 9.6 |
| 3604119 | [CVE-2025-42999] Niebezpieczna deserializacja w SAP NetWeaver (serwer programistyczny Visual Composer) Komponenty: EP-VC-INF Kategoria: Błąd programu | Krytyczna | 9.1 |
| 3609271 | [CVE-2025-42982] Ujawnianie informacji w SAP GRC (wtyczka AC) Komponenty: GRC-ACP Kategoria: Błąd programu | Wysoka | 8.8 |
| 3474398 | [CVE-2025-0061] Wiele luk w zabezpieczeniach platformy SAP BusinessObjects Business Intelligence Komponenty: BI-BIP-INV Kategoria: Błąd programu | Wysoka | 8.7 |
| 3606484 | [CVE-2025-42983] Brak kontroli autoryzacji w SAP Business Warehouse i SAP Plug-In Basis Komponenty: CRM-MW Kategoria: Błąd programu | Wysoka | 8.5 |
| 3560693 | [CVE-2025-23192] Luka w zabezpieczeniach Cross-Site Scripting (XSS) w SAP BusinessObjects Business Intelligence (BI Workspace) Komponenty: BI-BIP-INV Kategoria: Błąd programu | Wysoka | 8.2 |
| 3591978 | [CVE-2025-43011] Brak kontroli autoryzacji w SAP Landscape Transformation (PCL Basis) Komponenty: CA-LT-PCL Kategoria: Błąd programu | Wysoka | 7.7 |
| 3610591 | [CVE-2025-42977] Luka w zabezpieczeniach Directory Traversal w SAP NetWeaver Visual Composer Komponenty: EP-VC-INF Kategoria: Błąd programu | Wysoka | 7.6 |
| 3610006 | [CVE-2025-42994] Wiele luk w zabezpieczeniach SAP MDM Server Komponenty: MDM-FN-MDS-SEC Kategoria: Błąd programu | Wysoka | 7.5 |
| 3580384 | [CVE-2025-42993] Brak kontroli autoryzacji w SAP S/4HANA (Enterprise Event Enablement Komponenty: OPU-XBE Kategoria: Błąd programu | Średnia | 6.7 |
| 3585992 | [CVE-2025-43008] Brak kontroli autoryzacji w SAP S/4HANA HCM Portugal i SAP ERP HCM Portugal Komponenty: PY-PT Kategoria: Błąd programu | Średnia | 5.8 |
| 3590887 | [CVE-2025-31325] Luka w zabezpieczeniach typu Cross-Site Scripting (XSS) w SAP NetWeaver (dokumentacja słów kluczowych ABAP) Komponenty: BC-ABA-LA Kategoria: Błąd programu | Średnia | 5.8 |
| 3441087 | [CVE-2025-42984] Brak kontroli autoryzacji w SAP S/4HANA (aplikacja Manage Central Purchase Contract) Komponenty: MM-PUR-HUB-CTR Kategoria: Błąd programu | Średnia | 5.4 |
| 3594258 | [CVE-2025-42998] Luka w zabezpieczeniach związana z błędną konfiguracją w SAP Business One Integration Framework Komponenty: SBO-INT-B1IF Kategoria: Błąd programu | Średnia | 5.3 |
| 3608058 | [CVE-2025-42991] Brak kontroli autoryzacji w SAP S/4HANA (aplikacja konta bankowego) Komponenty: FIN-FSCM-CLM-BAM Kategoria: Błąd programu | Średnia | 4.3 |
| 3596850 | [CVE-2025-42987] Brak kontroli autoryzacji w SAP S/4HANA (Zarządzanie regułami przetwarzania — dla wyciągu bankowego) Komponenty: FI-FIO-AR-PAY Kategoria: Błąd programu | Średnia | 4.3 |
| 3585545 | [CVE-2025-42988] Fałszowanie żądań po stronie serwera w SAP Business Objects Business Intelligence Platform Komponenty: BI-BIP-INV Kategoria: Błąd programu | Niska | 3.7 |
| 3426825 | [CVE-2025-23191] Luka w zabezpieczeniach umożliwiająca zatrucie pamięci podręcznej poprzez manipulację nagłówkiem w SAP Fiori dla SAP ERP Komponenty: OPU-GW-COR Kategoria: Błąd programu | Niska | 3.1 |
| 3601169 | [CVE-2025-42990] Wstrzyknięcie kodu HTML w niezabezpieczonych aplikacjach SAPUI5 Komponenty: CA-UI5-SC Kategoria: Błąd programu | Niska | 3.0 |
