Zum Mai-Patchday dieses Jahres schließt SAP acht Sicherheitslücken, die unterschiedliche Produkte betreffen. Zudem hat das Unternehmen vier weitere Meldungen zu bereits abgedichteten Sicherheitslecks aktualisiert.

Drei der neu gemeldeten Sicherheitslücken stuft SAP als kritisch ein, im Unternehmens-Slang durch den Begriff "Hot News" beschrieben. Sie beziehen sich allesamt auf das Spring-Framework und ermöglichen Angreifern, Schadcode einzuschleusen und auszuführen (CVE-2022-22965, CVSS 9.8, Risiko "kritisch"). Davon betroffen sind SAP Business One Cloud 1.1, SAP Commerce 1905, 2005, 2105 sowie 2011 und SAP Customer Profitability Analytics 2.

SAP benennt Schwachstellen zum Patchday

Zwei weitere Schwachstellen stufen die Entwickler als hohes Risiko ein: Eine Cross-Site-Scripting-Lücke in SAP Webdispatcher und SAP NetweaverASfor ABAP and Java (ICM) (CVE-2022-27656, CVSS 8.3, hoch) und mögliche Informationslecks im Central Management Server der SAP BusinessObjects Business Intelligence Platform (CVE-2022-28214, CVSS 7.8, hoch).

Sicherheitslücken von mittlerem Schweregrad hat SAP in SAP NetWeaver Application Server for ABAP und ABAP Platform, SAP Employee Self Service (Fiori My Leave Request) und SAP Host Agent aufgespürt und behoben. Die aktualisierten Sicherheitsmeldungen betreffen das zentrale Sammeldokument zur Spring-Framework-Lücke mit kritischem Risiko und Sicherheitslücken mit mittlerer Gefahreneinstufung in der SAP BusinessObjects Business Intelligence Platform sowie in SAP NetWeaver.

Übersicht der SAP-Sicherheitsmeldungen

Die Übersicht über die einzelnen Sicherheitsmeldungen hat SAP abermals als aktualisierte PDF-Datei vorgelegt. Administratoren sollten zügig ein Wartungsfenster für das Installieren der bereitstehenden Aktualisierungen einplanen, um die Angriffsfläche für potenzielle Angreifer zu minimieren.

Lesen Sie auch Patchday: SAP dichtet 30 Sicherheitslücken ab

(dmk)