Der Dezember-Patchday von SAP bringt Updates zum Schließen von teils kritischen Sicherheitslücken in mehreren Programmen. Insgesamt 14 neue Sicherheitsmeldungen veröffentlicht der Hersteller. Zudem aktualisiert er vier ältere Notizen. Von den 14 Meldungen behandeln gleich vier kritische Sicherheitslücken, drei hochriskante Bedrohungen und sechs Schwachstellen mit mittlerem Risiko; eine Meldung mittleren Schweregrads kennzeichnet SAP als Update und gleichzeitig als neu, da noch weitere dadurch verwundbare Systeme hinzugekommen sind. Details zu den Sicherheitslücken hält SAP wie üblich zurück. Eine Andeutung des Schwachstellentyps und betroffene Software nennt das Unternehmen jedoch öffentlich. Eine Server-Side Request Forgery vulnerability (SSRF)-Schwachstelle findet sich in SAP BusinessObjects Business Intelligence Platform (CVE-2022-41267, CVSS 9.9, Risiko „kritisch“). Bei einer SSRF können Angreifer Server missbrauchen, um an Informationen etwa aus dem internen Netz zu gelangen, auf die lediglich der Server zugreifen kann, die aber eigentlich vertraulich und gegen Zugriffe von außen geschützt sind. Unzureichende Zugriffskontrollen bei der benutzerdefinierten Suche von SAP NetWeaver Process Integration reißen eine kritische Lücke auf (CVE-2022-41272, CVSS 9.9, kritisch). In SAP Commerce kommt eine verwundbare Version von Apache Commons Text zum Einsatz, durch die Angreifer aus dem Netz mit manipulierten Anfragen Code einschleusen und zur Ausführung bringen könnten (CVE-2022-42889, CVSS 9.8, kritisch). Das Messaging-System von SAP NetWeaver Process Integration nimmt ebenfalls inkorrekte Zugriffsprüfungen vor, wodurch eine weitere Lücke aufgerissen wird (CVE-2022-41271, CVSS 9.4, kritisch). Weitere hochriskante Lücken finden sich in SAP Basis, SAP Business Planning and Consolidation und SAP Commerce. Schwachstellen mittleren Schweregrads betreffen SAP Disclosure Management, SAP NetWeaver AS for Java, SAP Solution Manager (Enterprise Search), SAP NetWeaver AS ABAP, SAP Solution Manager (Diagnostic Agent), SAP Business Objects Business Intelligence Platform (Web intelligence) und schließlich noch in SAP Sourcing and SAP Contract Lifecycle Management. Links zu den SAP-Eigenen Sicherheitsnotizen finden sich in der SAP Patchday-Übersicht. Administratoren können dort mit ihren Zugangsdaten auf die Details zu den Meldungen sowie die bereitgestellten Aktualisierungen zugreifen. Der SAP-November-Patchday brachte neun Sicherheitsnotizen, von denen zwei als kritisches Risiko eingestufte Lücken behandelt hatten.
