SAP:s månatliga säkerhetsuppdateringar för mars 2025

SAP åtgärdar 25 sårbarheter i samband med månadens patchtisdag. Fem av rättelserna bedöms ha hög prioritet och berör säkerhetsbrister i bland annat Commerce, Commerce Cloud och NetWeaver. [1]

Bland de sårbarheter som bedöms som mest allvarliga återfinns:

• CVE-2025-26661 (CVSS-klassning 8,8 av 10) påverkar NetWeaver och kan medföra eskalering av privilegier så att en angripare kan få högre behörighet. [2]

• CVE-2024-38286 (CVSS-klassning 8,6) är en sårbarhet i minnesallokeringen i Apache Tomcat som kan påverka Commerce Cloud [3]. Om den utnyttjas kan det göra det möjligt för en angripare att orsaka Out of Memory-fel i sårbara system. Sårbarheten har kopplingar till en tidigare sårbarhet i Apache Tomcat (CVE-2024-52316), som CERT-SE informerade om i februari [4].

• CVE-2025-27434 (CVSS-klassning 8,8 av 10) påverkar SAP Commerce. Om den utnyttjas kan en angripare orsaka ett angrepp med webbkodinjektion i sårbara system. [5]

Påverkade produkter

Se SAP:s säkerhetsråd för en fullständig lista av produkter som lagas. [1]

Rekommendationer

CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringarna i enlighet med tillverkarens rekommendationer.

Källor

[1] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2025.html

[2] https://www.cve.org/CVERecord?id=CVE-2025-26661

[3] https://www.cve.org/CVERecord?id=CVE-2024-38286

[4] https://www.cert.se/2025/02/flera-kritiska-sarbarheter-i-atlassian-produkter.html

[5] https://www.cve.org/CVERecord?id=CVE-2025-27434