SAP widmet zum Oktober-Patchday in 15 sogenannten Sicherheitsnotizen sicherheitsrelevanten Fehlern seine Aufmerksamkeit. Zahlreiche Produkte des Unternehmens sind betroffen. Zwei der Lücken stuft SAP sogar als kritisch ein. Administratoren von SAP-Installationen sollten daher zügig aktiv werden. Insgesamt listet SAP zwei als kritisches Risiko eingestufte Sicherheitslücken, sechs mit hohem sowie neun mit mittlerem Bedrohungsgrad. Bei den zwei überzähligen Sicherheitsmeldungen handelt es sich um je eine ältere Lücke mit hohem und eine mit mittlerem Risiko, zu denen SAP die Dokumentation aktualisiert hat. Die schwerwiegendste Schwachstelle betrifft SAP Manufacturing Execution. Eine sogenannte Path-Traversal-Schwachstelle ermöglicht Angreifer offenbar die Kompromittierung von verwundbaren Systemen. Zumindest legt die Risikoeinstufung das nahe (CVE-2022-39802, CVSS 9.9, Risiko „kritisch“). Details zu der Lücke und ihrer Auswirkungen nennt SAP nicht. In SAP Commerce könnten Angreifer im Log-in-Formular mittels URL-Umleitung Zugänge übernehmen (CVE-2022-41204, CVSS 9.6, hoch). Die Sicherheitslücken mit hohem Schweregrad betreffen SAP BusinessObjects Business Intelligence Platform (Program Objects), SAP SQL Anywhere und SAP IQ, SAP BusinessObjects Business Intelligence Platform(AdminTools/ Query Builder), SAP 3D Visual Enterprise Viewer sowie den SAP 3D Visual Enterprise Author. Mittleres Risiko geht von den Schwachstellen in SAP BusinessObjects Business Intelligence Platform (Version Management System), SAP Enable Now, SAP Commerce, SAP BusinessObjects Business Intelligence Platform (BI LaunchPad), SAP BusinessObjects Business Intelligence platform / Analysis for OLAP, SAP Customer Data Cloud (Gigya) und SAP Data Services Management Console aus. Administratoren finden weitere Details und Links zu SAPs Administrator-Notizen in der Patchday-Übersicht im PDF-Format. Am September-Patchday hatte SAP noch acht Schwachstellen in den Sicherheitsnotizen behandelt. Die höchste Risikoeinstufung lag in dem Monat bei „hoch“.