SAP Security Patch Day - 2025.09

SAP Security Patch Day - 2025.09

• SAP Security Patch Day – September 2025

2025년 9월 9일, SAP Security Patch Day 에 21개의 새로운 Security Notes 와 5개의 업데이트 Security Notes, 총 26개의 보안 노츠가 출시되었다.

그리고 이후, 2개의 업데이트 Security Notes 가 추가 출시되었다.

---

1. OverView

= 전체 보안 노츠 건수 : 26건

🔴 HotNews/ Critical  : 4건
🟠 High Priority       : 4건
🟡 Medium Priority   : 15건
⚪ Low Priority       : 3건

= 전체 요약

이번 달에는 치명적인 우선순위(Critical) 4개, 높은 우선순위가 4개, 중간 우선순위에 15개의 Notes 등, 총 26개의 보안 패치를 선보였다.

치명적/높은 우선순위의 보안 패치에는 역직렬화, 웹 서비스 결함, 디렉터리 탐색 취약점, 권한 검사 누락 등 다양한 취약점들에 대해서 다루고 있다.

특히, 역직렬화와 디렉터리 탐색 취약점은 몇달 전부터 계속 출시되고 있고, 권한 점검 누락의 경우도 지속해서 신규 오브젝트에 대한 보안 Notes 가 출시되고 있으니, 9월 이전 공개된 보안 뉴스도 꼼꼼히 살펴보길 바란다.

중간 우선순위에서도 많은 Security Notes 들이 출시되었는데, 권한 점검 누락, XSS 취약점 등등이 있다.

---

2. Important News

🔴 2-1. 3634501 - [CVE-2025-42944] Insecure Deserialization vulnerability in SAP Netweaver (RMI-P4)

🔰 Notes Release : 2025.09.12 (Version 38)

🔰 CVSS Base Vector : 10.0 (치명적)

✅ 요약

SAP NetWeaver 의 역직렬화(Deserialization) 취약점으로 인해 인증되지 않은 공격자가 RMI-P4 모듈을 통해 오픈된 포트에 악성 페이로드를 제출하여 시스템을 악용할 수 있음.
이러한 역직렬화 취약점 공격으로 임의의 OS 명령 실행으로 이어질 수 있음.

※ FAQ 문서

• SAP Notes 3637718 - FAQ for SAP Security Note 3634501 - [CVE-2025-42944] Parsing/Deserialization issues vulnerability in RMI-P4

FAQ 문서 Q1 에 따르면, 모든 릴리즈의 Netweaver AS Java, Netweaver 스택이 영향을 받는다고 한다. (EP, PO 등등)

(10.14 업데이트)
아래 SAP Notes 를 통해서, As JAVA 시스템의 역직렬화에 대한 임시 보안강화가 가능해졌다.

• SAP Notes 3660659 - [CVE-2025-42944] Security Hardening for Insecure Deserialization in SAP NetWeaver AS Java

✅ 어플리케이션 영향도

어플리케이션의 기밀성, 무결성 및 가용성에 매우 높은 영향

✅ 사유 및 선행조건

신뢰할 수 없거나, 악의적인 컨텐츠의 안전하지 않은 역직렬화

✅ 요약 해결책

◾ SERVERCORE 7.50 서포트 패키지(SP) 패치

◾ (Workaround) (전제조건 : 네트워크가 안전한 수준에서 격리되어있는 환경)
P4/P4S 포트에 안전한 내부 네트워크 IP 만 수신되도록 수정(ACL 설정).
※ 단, ACL 파일이 존재하지 않거나, 구문이 부정확하면 ICM 이 중지됨.
※ 또한 FAQ Notes Q8. 에 따른 부작용이 있을 수 있음.

• ACL File 옵션 추가 (icm/server_port_0 파라미터 예시)
  : PROT=P4,PORT=5$(SAPSYSTEM)04,TIMEOUT=300,ACLFILE=<ACL File 경로>
  
  
• ACL File 구문 예시

(Syntax) 
<permit | deny> <ip-address[/mask]> [tracelevel] [# comment]
_____________________________________________________________________________
permit 10.1.2.0/24          # permit client network
permit 192.168.7.0/24       # permit server network
permit 10.0.0.0/8 1         # screening rule (learning mode, trace-level 1)
permit 2001:db8::1428:57ab  # permit IPv6 host
deny   0.0.0.0/0            # 명시적으로 permit IP 를 제외한 모든 규칙 차단
_____________________________________________________________________________

• FAQ Q8. 에 따르면, P4/P4S 포트는 Enterprise Services Repository(ESR), Integration Builder(IB) 툴의 접속 및 수행에 사용되며, 해당 도구의 사용 제한(ACL 설계에 따라) 외에 PI/PO 시스템의 런타임 작업에는 영향을 미치지 않는다고 설명한다.

✅ 소프트웨어 컴포넌트

◾ J2EE ENGINE SERVERCORE 7.50 ALL SP.

🔴 2-2. 3643865 - [CVE-2025-42922] Insecure File Operations vulnerability in SAP NetWeaver AS Java (Deploy Web Service)

🔰 Notes Release : 2025.09.10 (Version 13)

🔰 CVSS Base Vector : 9.9 (치명적)

✅ 요약

SAP NetWeaver AS Java 는 일반 사용자로 인증된 공격자가 사용 가능한 서비스의 결함을 이용하여 임의의 파일을 업로드할 수 있도록 허용함.

※ FAQ 문서

• SAP Notes 3646072 - FAQ for SAP Security Note 3643865 - [CVE-2025-42922] Insecure File Operations vulnerability in SAP NetWeaver AS Java (Deploy Web service)

✅ 어플리케이션 영향도

시스템의 기밀성, 무결성 및 가용성에 매우 높은 영향

✅ 사유 및 선행조건

Deploy Web Service 결함

✅ 요약 해결책

◾ J2EE-APPS 7.50 서포트 패키지(SP) 패치
◾ (Workaround) FAQ Notes Workaruound 에 따라 Deploy Web Service 비활성화

✅ 소프트웨어 컴포넌트

◾ J2EE ENGINE APPLICATIONS 7.50 ALL SP.

🔴 2-3. 3302162 - [CVE-2023-27500] Directory Traversal vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform

🔰 Notes Release : 2025.09.09 (Version 11)

🔰 CVSS Base Vector : 9.6 (치명적)

✅ 요약

SAP Netweaver AS ABAP, ABAP Platform 에서 관리자 권한이 없는 공격자가 SAPRSBRO 프로그램의 디렉터리 탐색 취약점을 악용하여 시스템 파일을 덮어쓸 수 있음.
이 공격으로 데이터를 읽을 수는 없지만, 중요한 OS 파일을 덮어씀으로써 시스템을 사용할 수 없게 만들 수도 있음.

※ FAQ 문서

• SAP Notes 3311360 - FAQ for SAP Security Note 3302162

✅ 어플리케이션 영향도

시스템의 무결성, 가용성에 매우 높은 영향

✅ 사유 및 선행조건

SAPRSBRO 프로그램의 디렉터리 탐색 취약점 악용

✅ 요약 해결책

◾ SAP_BASIS 서포트 패키지(SP) 패치
◾ Security Notes 적용
◾ (Workaround) SAPRSBRO 프로그램 수행 권한 제한
→ 권한 오브젝트 S_PROGNAM / 권한 필드 P_PROGNAM = SAPRSBRO, 권한 필드 P_ACTION = SUBMIT 권한 회수

✅ 소프트웨어 컴포넌트

◾ SAP_BASIS 700 ~ 757

🔴 2-4. 3627373 - [CVE-2025-42958] Missing Authentication check in SAP NetWeaver

🔰 Notes Release : 2025.09.09 (Version 10)

🔰 CVSS Base Vector : 9.1 (치명적)

✅ 요약

IBM i-시리즈 기반 SAP NetWeaver 어플리케이션의 인증 검사 누락으로 인해,
권한이 높은 무단 사용자가 민감한 정보를 읽고, 수정하고, 삭제할 수 있으며, 관리 기능이나 권한이 필요한 기능에 접근할 수 있음.

※ FAQ 문서

• SAP Notes 3628734 - FAQ Note for SAP Security Note 3627373

✅ 어플리케이션 영향도

어플리케이션의 기밀성, 무결성 및 가용성에 매우 높은 영향

✅ 사유 및 선행조건

(전제조건) IBM i OS 의 하나의 논리 파티션(LPAR) 에서 SID 가 서로 다른 두 개의 SAP 인스턴스가 구성된 경우일때 영향을 받음.
(AS400/OS400/IBM i-Series/Power Series)

✅ 요약 해결책

◾ SAP Kernel 패치

✅ 소프트웨어 컴포넌트

◾ SAP KERNEL 7.22 ~ 7.54

🟠 2-5. 3642961 - [CVE-2025-42933] Insecure Storage of Sensitive Information in SAP Business One (SLD)

🔰 Notes Release : 2025.09.08 (Version 8)

🔰 CVSS Base Vector : 8.8 (높음)

✅ 요약

사용자가 SAP Business One Native Client(기본 클라이언트) 를 통해 로그인할 때, SLD 백엔드 서비스가 특정 API 에 대해서 적절한 암호화를 수행하지 못함.
이로 인해, HTTP 응답 본문 내에 민감한 자격 증명이 노출됨.

✅ 어플리케이션 영향도

어플리케이션의 기밀성, 무결성 및 가용성에 높은 영향

✅ 사유 및 선행조건

SLD 백앤드 특정 API 에 대한 암호화 누락

✅ 요약 해결책

◾ SAP BUSINESS ONE 10.0 / SAP B1 10.0 FOR SAP HANA 서포트 패키지(SP) 패치

✅ 소프트웨어 컴포넌트

◾ B1_ON_HANA 10.0
◾ SAP-M-BO 10.0

🟠 2-6. 3633002 - [CVE-2025-42929] Missing input validation vulnerability in SAP Landscape Transformation Replication Server

🔰 Notes Release : 2025.09.09 (Version 8)

🔰 CVSS Base Vector : 8.1 (높음)

✅ 요약

SAP Landscape Transformation Replication Server 에서 입력 검증이 누락되어 높은 권한을 가진 공격자가 ABAP 리포트를 통해, 권한 그룹으로 보호되지 않은 테이블의 내용을 임의로 삭제할 수 있음.

✅ 어플리케이션 영향도

데이터베이스의 무결성, 가용성에 높은 영향

✅ 사유 및 선행조건

부적절한 입력 검증 및 처리

✅ 요약 해결책

◾ DMIS 서포트 패키지(SP) 패치
◾ Security Notes 적용

✅ 소프트웨어 컴포넌트

◾ DMIS 2011_1_620 ~ 2011_1_752 / 2020

🟠 2-7. 3635475 - [CVE-2025-42916] Missing input validation vulnerability in SAP S/4HANA (Private Cloud or On-Premise)

🔰 Notes Release : 2025.09.08 (Version 5)

🔰 CVSS Base Vector : 8.1 (높음)

✅ 요약

SAP S/4HANA (Private Cloud or On-Premise) 에서 입력 검증이 누락되어, 높은 권한을 가진 공격자가 ABAP 리포트를 통해, 권한 그룹으로 보호되지 않은 테이블의 내용을 임의로 삭제할 수 있음.

✅ 어플리케이션 영향도

데이터베이스의 무결성, 가용성에 높은 영향

✅ 사유 및 선행조건

부적절한 입력 검증 및 처리

✅ 요약 해결책

◾ S4CORE 서포트 패키지(SP) 패치
◾ Security Notes 적용

✅ 소프트웨어 컴포넌트

◾ S4CORE 102 ~ 108

🟠 2-8. 3581811 - [CVE-2025-27428] Directory Traversal vulnerability in SAP NetWeaver and ABAP Platform (Service Data Collection)

🔰 Notes Release : 2025.09.09 (Version 8)

🔰 CVSS Base Vector : 7.7 (높음)

✅ 요약

SAP Netweaver, ABAP Platform 에서 디렉터리 탐색 취약점으로 인해,
권한이 있는 공격자는 RFC 함수 모듈을 통해 일부 중요 정보에 접근할 수 있음.
공격에 성공하면 SAP Solution Manager 에 연결된 모든 관리 시스템의 파일을 읽을 수 있음.

✅ 어플리케이션 영향도

시스템의 무결성, 가용성에 높은 영향

✅ 사유 및 선행조건

(전제조건) 권한이 <sid>adm 사용자로 설정되어 있고, 알려진 '접두사' 경로를 가진 파일 이름에 액세스할 수 있음.

✅ 요약 해결책

◾ ST-PI 서포트 패키지(SP) 패치
◾ Security Notes 적용

✅ 소프트웨어 컴포넌트

◾ ST-PI 2008_1_700 ~ 2008_1_710 / 740

---

3. Other Priority

해당 부분은 높은 우선순위 는 아니지만, 대부분의 환경에서 많이 쓰이는 컴포넌트들에 대한 Security Notes를 정리했으며, 순서는 CVSS Base Vector 점수 순이다.
🟡 Medium Priority
⚪ Low Priority

🟡 3-1. 3629325 - [CVE-2025-42938] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver ABAP Platform

🟡 3-2. 3619465 - [CVE-2025-42926] Missing Authentication check in SAP NetWeaver Application Server Java

🟡 3-3. 3629871 - [CVE-2025-42948] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver ABAP Platform

🟡 3-4. 3627644 - [CVE-2025-42911] Missing Authorization check in SAP NetWeaver (Service Data Download)

🟡 3-5. 3610322 - [CVE-2025-42961] Missing Authorization check in SAP NetWeaver Application Server for ABAP

🟡 3-6. 3640477 - [CVE-2025-42925] Predictable Object Identifier vulnerability in SAP NetWeaver AS Java (IIOP Service)

🟡 3-7. 3623504 - [CVE-2025-42918] Missing Authorization check in SAP NetWeaver Application Server for ABAP (Background Processing)

🟡 3-8. 3577131 - [CVE-2025-31331] Authorization Bypass vulnerability in SAP NetWeaver

⚪ 3-9. 3624943 - [CVE-2025-42941] Reverse Tabnabbing vulnerability in SAP Fiori (Launchpad)

⚪ 3-10. 3525295 - [CVE-2025-42927] Information Disclosure due to Outdated OpenSSL Version in SAP NetWeaver AS Java (Adobe Document Service)

---