SAP patcht neue Zero-Day-Lücke in Netweaver

14. Mai 2025 um 09:55
  • security
  • sicherheitslücke
  • ERP/CRM
  • sap
image
Illustration: Elchinator / Pixabay

Die Lücke wurde bei der Untersuchung einer im März bekannt gewordenen Zero-Day-Lücke entdeckt. Beide wurden von Hackern bereits ausgenutzt.

SAP hat am 12. Mai ein Security-Update zu einer neu aufgefundenen Zero-Day-Sicherheitslücke in SAP Netweaver, oder genauer gesagt in Visual Composer Development Server veröffentlicht. Diese neue Schwachstelle, CVE-2025-42999, wurde laut SAP bei der Untersuchung der Ende März bekannt gewordenen Sicherheitslücke CVE-2025-31324 identifiziert. Die Lücken erlauben es Angreifern, eigene Files auf die Server hochzuladen, beispielsweise Web Shells.
SAP ruft Kunden dazu auf, beide Schwachstellen umgehend zu patchen. Nähere Informationen findet man in den entsprechenden Security-Bulletins des ERP-Anbieters.
Laut Security-Forschern werden beide Lücken von Hackern bereits seit einiger Zeit bei Angriffen auf Netweaver Server ausgenutzt, die zuerst gefundene möglicherweise schon seit Januar. Der Security-Dienstleister Onapsis sagt, dass er im März auch Angriffe beobachtet hat, bei denen die Hacker versuchten, beide Lücken gleichzeitig zu nutzen.

Loading

Mehr zum Thema

image

Strafverfolger schalten Geldwäschedienst für Ransomware ab

Internationale Behörden unter Beteiligung des Fedpols haben die Plattform "AudiA6" zerschlagen. Über diese wurden Millionen in Kryptowährungen gewaschen.

publiziert am 12.6.2026
image

Github verschärft npm-Sicherheitsstandards

Künftig werden Installationsskripte sowie bestimmte Abhängigkeiten standardmässig blockiert und nur noch nach expliziter Freigabe ausgeführt.

publiziert am 11.6.2026
image

Servicenow meldet Sicherheitsproblem

Der Softwarekonzern hat eine Sicherheitslücke in seiner Cloud-Plattform geschlossen. Zuvor war ein unautorisierter Zugriff auf Servicenow-Instanzen möglich gewesen.

publiziert am 10.6.2026
image

Anthropic lanciert Claude Fable 5 für alle Nutzer

Parallel dazu startet mit Claude Mythos 5 eine Variante mit erweiterten Cybersecurity-Fähigkeiten, die zunächst nur ausgewählten Organisationen zugänglich ist.

publiziert am 10.6.2026