SAP patcht attackierte, kritische Schwachstelle außer der Reihe

Für gewöhnlich können sich IT-Verantwortliche auf einen monatlichen Zeitplan zum Installieren von SAP-Sicherheitsupdates einstellen. Kurz vor dem Wochenende ist das dieses Mal anders: Der Walldorfer Software-Konzern stopft eine kritische Sicherheitslücke mit Höchstwertung CVSS 10 von 10 außer der Reihe. Admins sollten zügig aktiv werden. Inzwischen ist klar: Die Lücke wird bereits in freier Wildbahn angegriffen.

SAP hat im Laufe des Donnerstags eine Schwachstellenmeldung herausgegeben. “SAP NetWeaver Visual Composer Metadata Uploader wird nicht von einer ordentlichen Autorisierung geschützt, was nicht authentifizierten Angreifern erlaubt, potenziell bösartige ausführbare Binärdateien hochzuladen, die das System stark schädigen können”, schreiben die Entwickler des Unternehmens dort (CVE-2025-31324, CVSS 10.0, Risiko “kritisch“).

Kritische Sicherheitslücke in SAP Netweaver

Weitergehende Details nennt SAP nicht, auch nicht auf der aktualisierten Übersichtsseite zum April-Patchday, die um den Eintrag länger wurde. Es finden sich dort jedoch noch zwei aktualisierte Sicherheitsnotizen, die seit der Erstveröffentlichung vor rund zwei Wochen nötig wurden, und zwei weitere Sicherheitsmitteilungen außer der Reihe. Die behandeln jedoch Sicherheitslücken in SAP S/4 HANA und SAP Field Logistics, die lediglich einen mittleren Bedrohungsgrad haben.

IT-Verantwortliche mit verwundbaren SAP-Netweaver-Instanzen sollten die bereitgestellten Aktualisierungen umgehend anwenden. Sie sind für registrierte Admins auf den ihnen bekannten Wegen erhältlich.

Der April-Patchday findet regulär am zweiten Dienstag eines Monats statt. Im April hatte SAP dort 18 Sicherheitsmitteilungen zu Schwachstellen in diversen Produkten veröffentlicht. Bereits davon galten einige als kritisches Risiko, jedoch erreichte keines der Sicherheitslecks die schlimmstmögliche Einstufung mit einem CVSS-Wert von 10 (von 10 maximal möglichen Punkten).

(dmk)