- CVE-2025-42887 im SAP Solution Manager ermöglicht die nicht authentifizierte Codeinjektion und die vollständige Systemübernahme
- Sicherheitslücke mit 9,9/10 bewertet; Patch, der im SAP-Update vom November 2025 veröffentlicht wurde
- SAP hat außerdem CVE-2024-42890 behoben, einen 10/10-Fehler in SQL Anywhere Monitor
SAP Solution Manager, eine Application Lifecycle Management (ALM)-Plattform mit Zehntausenden von Benutzerorganisationen, wies eine Sicherheitslücke mit kritischem Schweregrad auf, die es Bedrohungsakteuren ermöglichte, die kompromittierte Lösung vollständig zu übernehmen Endpunktewarnen Experten.
Die Sicherheitsforscher SecurityBridge, die SAP benachrichtigten, nachdem sie den Fehler entdeckt hatten, beschrieben eine Schwachstelle mit „fehlender Eingabebereinigung“, die es nicht authentifizierten Bedrohungsakteuren ermöglicht, Eingaben vorzunehmen bösartiger Code beim Aufruf eines remotefähigen Funktionsbausteins.
„Dies könnte dem Angreifer die volle Kontrolle über das System verschaffen und somit erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben“, erklärte die National Vulnerability Database (NVD).
SAP behebt einen 10/10-Fehler
Der Fehler wird jetzt als CVE-2025-42887 verfolgt und erhielt einen Schweregrad von 9,9/10 (kritisch).
Ein Patch ist jetzt öffentlich verfügbar, und während die SAP-Benutzer zuvor benachrichtigt wurden, fordern die Forscher erneut alle auf, ihn so schnell wie möglich anzuwenden, da das Risiko in Zukunft nur noch größer werden wird:
„Heute wurde ein öffentlicher Patch für diese Schwachstelle veröffentlicht, der das Reverse Engineering und die Exploit-Entwicklung beschleunigen könnte, daher wird ein baldiges Patchen empfohlen“, sagte SecurityBridge in seiner Ankündigung.
„Wenn wir eine Schwachstelle entdecken, die eine Prioritätsbewertung von 9,9 von 10 erhält, wissen wir, dass wir es mit einer Bedrohung zu tun haben, die Angreifern die vollständige Kontrolle über das System verschaffen könnte“, sagte Joris van de Vis, Direktor für Sicherheitsforschung bei SecurityBridge.
„CVE-2025-42887 ist besonders gefährlich, weil es das Einschleusen von Code von einem Benutzer mit geringen Berechtigungen ermöglicht, was zu einer vollständigen Kompromittierung von SAP und allen im SAP-System enthaltenen Daten führt. Diese Schwachstelle durch Codeeinschleusung im SAP Solution Manager stellt genau die Art von kritischer Schwachstelle in der Angriffsfläche dar, an deren Identifizierung und Beseitigung unsere Threat Research Labs unermüdlich arbeiten. SAP-Systeme sind das Rückgrat des Geschäftsbetriebs, und Schwachstellen wie diese erinnern uns daran, warum proaktive Sicherheitsforschung so wichtig ist.“ nicht verhandelbar.“
Die Schwachstelle wurde im Rahmen des SAP-Patchtags im November behoben, einem kumulativen Update, das 18 neue und Updates für zwei zuvor beobachtete Fehler behebt. Neben dem oben genannten Fehler hat SAP einen 10/10-Fehler in der Nicht-GUI-Variante des SQL Anywhere Monitors behoben. Dieser Fehler wird als CVE-2024-42890 verfolgt und ist ein weiterer Fall von fest codierten Anmeldeinformationen.
„SQL Anywhere Monitor (Non-GUI) hat Anmeldeinformationen in den Code integriert, wodurch die Ressourcen oder Funktionen unbeabsichtigten Benutzern zugänglich gemacht werden und Angreifern die Möglichkeit zur Ausführung willkürlichen Codes geboten wird“, heißt es in der Beschreibung. SQL Anywhere Monitor ist ein Datenbanküberwachungs- und Warntool und Teil der SQL Anywhere-Suite.
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
