SAP v augustovom Patch Tuesday opravil viacero kritických a vysoko závažných zraniteľností vo viacerých produktoch
Spoločnosť SAP vydala 12. augusta 2025 bezpečnostné aktualizácie obsahujúce opravy pre 20 zraniteľností. 3 z nich sú hodnotené ako kritické a umožňujú injektovanie kódu. 2 vysoko závažné dovoľujú získať vyššie oprávnenia, obchádzať autorizáciu a injektovať ABAP kód.
Zraniteľné systémy:
- SAP S/4HANA (Private Cloud/On-Premise) verzie S4CORE 102, 103, 104, 105, 106, 107, 108
- SAP Landscape Transformation (Analysis Platform) verzie DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020
- SAP Business One (SLD) verzie B1_ON_HANA 10.0, SAP-M-BO 10.0
- SAP NetWeaver Application Server ABAP (BIC Document) verzie SAP_APPL 606; SAP_FIN 617, 618, 720, 730; S4CORE 102, 103, 104, 105, 106, 107, 108
Pozn.: V ďalších zraniteľných systémoch boli opravené stredne a nízko závažné zraniteľnosti.
Opis zraniteľnosti:
CVE-2025-27429, CVE-2025-42957 (CVSS 3.1 skóre 9,9)
Kritické zraniteľnosti v SAP S/4HANA, ktoré súvisia s nevhodnou kontrolou oprávnení. Zraniteľnosti dovoľujú útočníkom s používateľskými oprávneniami injektovať ľubovoľný ABAP kód cez moduly prístupné na diaľku cez RFC. CVE-2025-27429 predstavuje aktualizáciu pôvodnej zraniteľnosti z apríla 2025.
CVE-2025-42950 (CVSS 3.1 skóre 9,9)
Kritická zraniteľnosť v SAP Landscape Transformation (Analysis Platform) súvisí s nevhodnou kontrolou oprávnení. Zraniteľnosť dovoľuje útočníkom s používateľskými oprávneniami injektovať ľubovoľný ABAP kód cez moduly prístupné na diaľku cez RFC.
CVE-2025-42951 (CVSS 3.1 skóre 8,8)
Vysoko závažná zraniteľnosť v SAP Business One (SLD) súvisí z nevhodnou formou autorizácie. Útočník autentifikovaný v natívnom klientovi môže získať prístup k administrátorskému API a získať administrátorské oprávnenia ku databáze.
CVE-2025-42976 (CVSS 3.1 skóre 8,1)
Označuje viacero zraniteľností v SAP NetWeaver Application Server ABAP (BIC Document) súvisiacich s možnosťou čítať pamäť mimo povolené hodnoty. Autentifikovaný útočník môže spôsobiť poškodenie pamäte zaslaním špeciálne vytvorenej požiadavky na BIC Document, čo mu umožní prístup k informáciám v častiach pamäte, ktoré by nemali byť prístupné. Útočník môže požiadavkami služby aj zahltiť a spôsobiť jej výpadok.
Možné škody:
- Vzdialené vykonanie kódu
- Eskalácia oprávnení
- Neoprávnený prístup k citlivým údajom
- Nedostupnosť služby (DoS)
- Získanie úplnej kontroly nad systémom
Odporúčania:
Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie zo stránky výrobcu. Ak nie je možné aktualizovať zraniteľné systémy, odporúča sa zraniteľné podsystémy deaktivovať.
Zdroje:
- https://nvd.nist.gov/vuln/detail/CVE-2025-27429
- https://nvd.nist.gov/vuln/detail/CVE-2025-42957
- https://nvd.nist.gov/vuln/detail/CVE-2025-42950
- https://nvd.nist.gov/vuln/detail/CVE-2025-42951
- https://nvd.nist.gov/vuln/detail/CVE-2025-42976
- https://support.sap.com/en/my-support/knowledge-base/security-notes-news/august-2025.html
- https://onapsis.com/blog/sap-security-notes-august-2025-patch-day/
- https://cybersecuritynews.com/sap-security-patch-day/