Inprosec through its services, such as the SAP Security Assessment, helps its customers to improve the security levels of their SAP systems.
January 2024 Notes
Summary and Highlights of the Month
This month, the total number of notes/patches has been 14, just 1 more than last month. This month there were 2 HotNews, while the previous month there was only 1. Regarding the number of high-criticality notes, there has been a reduction of 1 for the current month, decreasing from 4 to 3. Medium- and low-criticality notes will not be reviewed, so we will provide details for a total of 5 notes (all those with a CVSS of 7 or higher).
We have a total of 14 notes for the entire month (all 14 from Patch Tuesday are new, so there are no updates).
We will review in detail a total of 5 notes, the 3 high-criticality notes, and the 2 HotNews:
-
The most critical notes of the month (with CVSS 9.9) are the two HotNews, related to “Improper Authentication in SAP NetWeaver ABAP Server and ABAP Platform” and “Information Disclosure vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework)”.
-
The next in criticality (CVSS 8.8) is a note related to “SQL Injection vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform”.
-
The next in criticality (CVSS 8.7) is a note related to “Multiple vulnerabilities in SAP BusinessObjects Business Intelligence Platform”.
-
The next in criticality (CVSS 7.8) is a note related to “DLL Hijacking vulnerability in SAPSetup”.
-
This month, the most predominant type is related to “Information Disclosure vulnerability” (6/14 in Patch Day).
In the chart, we can see the classification of January’s notes, as well as the evolution and classification of the last 5 previous months (only the notes from Sec. Tuesday / Patch Day – by SAP):
Full details
The complete detail of the most relevant notes is as follows:
-
Autenticación inadecuada en SAP NetWeaver ABAP Server and ABAP Platform (3537476): SAP NetWeaver Application Server for ABAP y ABAP Platform permiten que un atacante autenticado obtenga acceso ilegítimo al sistema al explotar comprobaciones de autenticación inadecuadas, lo que resulta en una escalada de privilegios. Si se explota con éxito, esto puede provocar problemas de seguridad potenciales. Esto tiene un alto impacto en la confidencialidad, integridad y disponibilidad. Puntuación Base CVSS v3 9,9/ 10 [CVE-2025-0070]
-
Vulnerabilidad de divulgación de información en SAP NetWeaver AS for ABAP y ABAP Platform (Internet Communication Framework) (3550708): En ciertas condiciones, SAP NetWeaver AS for ABAP y ABAP Platform (Internet Communication Framework) permiten que un atacante acceda a información restringida debido a controles de acceso débiles. Esto puede tener un impacto significativo en la confidencialidad, integridad y disponibilidad de una aplicación. Puntuación Base CVSS v3 9,9/ 10 [CVE-2025-0066]
-
Vulnerabilidad de inyección SQL en SAP NetWeaver AS for ABAP y ABAP Platform (3550816): SAP NetWeaver AS ABAP y ABAP Platform no verifican autorizaciones cuando un usuario ejecuta algunos módulos de función RFC. Esto podría permitir que un atacante con privilegios básicos de usuario obtenga control sobre los datos en la base de datos Informix, lo que llevaría a un compromiso total de la confidencialidad, integridad y disponibilidad. Existe una solución alternativa. Puntuación Base CVSS v3 8,8/ 10 [CVE-2025-0063]
-
Múltiples vulnerabilidades en SAP BusinessObjects Business Intelligence Platform (3474398): Esta nota de seguridad aborda dos vulnerabilidades en SAP BusinessObjects Business Intelligence Platform. Los detalles de la vulnerabilidad con un CVSS superior a 7 corresponden a una divulgación de información [CVE-2025-0061]. Este documento describe cómo SAP BusinessObjects Business Intelligence Platform permite que un atacante no autenticado realice secuestro de sesión a través de la red sin interacción del usuario, debido a una vulnerabilidad de divulgación de información. El atacante puede acceder y modificar los datos del usuario en la aplicación. Puntuación Base CVSS v3 8,7/ 10 [CVE-2025-0061]
-
Vulnerabilidad de secuestro de DLL en SAPSetup (3542533): Debido a una vulnerabilidad de inyección de DLL en SAPSetup, un atacante con privilegios de usuario local o con acceso a la cuenta Windows de un usuario corporativo comprometido podría obtener privilegios más altos. Con esto, podría moverse lateralmente dentro de la red y comprometer aún más el directorio activo de una empresa. Esto genera un alto impacto en la confidencialidad, integridad y disponibilidad del servidor Windows. Puntuación Base CVSS v3 7,8/ 10 [CVE-2025-0069]
Reference links
Other references, from SAP and Onapsis (december):
SAP Security Patch Day – January 2025
SAP Patch Day: January 2024 – Onapsis
Resources affected
-
SAP BusinessObjects Business Intelligence Platform, Versions – ENTERPRISE 420, 430, 2025
-
SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, 8.04, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 7.97, 8.04, 9.12, 9.13, 9.14
-
SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework), Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 912, SAP_BASIS 913, SAP_BASIS 914
-
SAPSetup, Version – LMSAPSETUP 9.0
-
SAP NetWeaver Application Server Java, Version – WD-RUNTIME 7.50
-
SAP GUI for Windows, Versions – BC-FES-GUI 8.0
-
SAP GUI for Java, Versions – BC-FES-JAV 7.80
-
SAP NetWeaver AS JAVA (User Admin Application), Version – ENGINEAPI 7.50, SERVERCORE 7.50, UMEADMIN 7.50