SAP セキュリティパッチデー 2025 年 5 月
このページでは、SAP 製品で発見された脆弱性を改善するセキュリティノートに関する情報を共有しています。SAP は、Support Portal にアクセスし SAP ランドスケープを保護するために優先的にパッチを適用することを強くお奨めします。
2025 年 5 月 13 日に、SAP セキュリティパッチデーに 16 の新しいセキュリティノートがリリースされました。さらに、以前にリリースされたセキュリティノートに対する 2 つの更新がありました。
Note# | Title | Priority | CVSS |
Update to Security Note released on April 2025 Patch Day: [CVE-2025-31324] Missing Authorization check in SAP NetWeaver (Visual Composer development server) | Critical | ||
[CVE-2025-42999] Insecure Deserialization in SAP NetWeaver (Visual Composer development server) Product – SAP NetWeaver (Visual Composer development server) Version – VCFRAMEWORK 7.50 | Critical | ||
[CVE-2025-30018] Multiple vulnerabilities in SAP Supplier Relationship Management (Live Auction Cockpit) Related CVE - CVE-2025-30009, CVE-2025-30010, CVE-2025-30011, CVE-2025-30012 Product – SAP Supplier Relationship Management (Live Auction Cockpit) | High | ||
[CVE-2025-43010] Code injection vulnerability in SAP S/4HANA Cloud Private Edition or On Premise(SCM Master Data Layer (MDL)) Product- SAP S/4HANA Cloud Private Edition or on Premise (SCM Master Data Layer (MDL)) Versions – S4CORE 102, 103, 104, 105, 106, 107, 108, SCM_BASIS 700, 701, 702, 712, 713, 714 | High | ||
[CVE-2025-43000] Information Disclosure Vulnerability in SAP Business Objects Business Intelligence Platform (PMW) Product – SAP Business Objects Business Intelligence Platform (PMW) | High | ||
[CVE-2025-43011] Missing Authorization Check in SAP Landscape Transformation (PCL Basis) Product – SAP Landscape Transformation (PCL Basis) | High | ||
Update to Security Note released on July 2024 Patch Day: [CVE-2024-39592] Missing Authorization check in SAP PDCE | High | ||
[CVE-2025-42997] Information Disclosure vulnerability in SAP Gateway Client Product- SAP Gateway Client | Medium | ||
[CVE-2025-43003] Information Disclosure vulnerability in SAP S/4HANA (Private Cloud & On-Premise) | Medium | ||
[CVE-2025-43009] Missing Authorization check in SAP Service Parts Management (SPM) | Medium | ||
[CVE-2025-43007] Missing Authorization check in SAP Service Parts Management (SPM) | Medium | ||
[CVE-2025-31329] Information Disclosure vulnerability in SAP NetWeaver Application Server ABAP and ABAP Platform Versions - SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758 | Medium | ||
[CVE-2025-43006] Cross-Site Scripting (XSS) vulnerability in SAP Supplier Relationship Management (Master Data Management Catalog) | Medium | ||
[CVE-2025-43008] Missing Authorization check in SAP S/4HANA HCM Portugal and SAP ERP HCM Portugal | Medium | ||
[CVE-2025-43004] Security Misconfiguration Vulnerability in SAP Digital Manufacturing (Production Operator Dashboard) Version – CTNR-DME-PODFOUNDATION-MS 1.0 | Medium | ||
[CVE-2025-26662] Cross-Site Scripting (XSS) vulnerability in the SAP Data Services Management Console | Medium | ||
[CVE-2025-43002] Missing Authorization check in SAP S4/HANA (OData meta-data property) | Medium | ||
[CVE-2025-43005] Information Disclosure vulnerability in SAP GUI for Windows Product- SAP GUI for Windows | Medium |
|
月次で計画されているパッチデー後に、新たに 4 つのセキュリティノートがリリースされました。
Update to Security Note released on January 2025 Patch Day: Product – SAP BusinessObjects Business Intelligence Platform | High | ||
Update to Security Note released on May 2025 Patch Day: Product – SAP Landscape Transformation (PCL Basis) | High | ||
Update to Security Note released on May 2025 Patch Day: [CVE-2025-43008] Missing Authorization check in SAP S/4HANA HCM Portugal and SAP ERP HCM Portugal | Medium | ||
Update to Security Note released on February 2025 Patch Day: | Low |
今月のセキュリティパッチを提供してきたセキュリティ研究者や調査会社の詳細については、こちらをご覧ください。
SAP は、信頼できる製品とクラウドサービスの提供に尽力しています。安全な運用とデータの完全性を確保するには、安全な設定が不可欠です。そのため、SAP ポートフォリオに最適なセキュリティを設定できるように、この文書に統合されたセキュリティ推奨事項が文書化されています。
過去のアーカイブブログは、こちらからご覧いただけます。
このページに関するコメントまたはフィードバックがある場合は secure@sap.com 宛にご連絡ください。(お問い合わせは英語でお願いいたします。)