Monat: August 2023

Veröffentlicht am

New Feature

werthAUDITOR - Erfolgreicher Security Prozess durch Veredelung mit automatisiertem Task Management

Für einen wirkungsvollen Security Prozess ist es wichtig, dass die ermittelten Problemstellungen strukturiert und nachverfolgbar abgearbeitet werden können. Unsere Lösung unterstützt den Prozess, indem sie automatisierte Tickets mit allen Informationen erzeugt und aktualisiert.  Aktuell unterstützt werthAUDITOR Jira, TheHive und ServiceNow. 

Veröffentlicht am

„WISSENSwerth“

SAP NEWS: Patchday August 2023

Hier findet ihr eine Übersicht der SAP Security Notes für August 2023:

1. Score 9.8  (Hot News)

Nummer: 3341460

[CVE-2023-37483] Mehrere Schwachstellen in SAP PowerDesigner

•  Beliebige Abfragen an die Backend-Datenbank
•  Möglicher Zugriff auf Kennwort-Hashes des Backend-Systems

2. Score 8.8 (High priority)

Nummer: 3346500

[CVE-2023-39439] Falsche Authentifizierung in SAP Commerce Cloud

•  Mögliche Anmeldung des Benutzers ohne Kennphrase am System 

3. Score 7.8 (High priority)

Nummer: 3341599

[CVE-2023-36923] Code-Injection-Schwachstelle in SAP PowerDesigner

•  Kombination von SAP SQLA für PowerDesigner 17 mit SAP PowerDesigner 16.7 SP06 PL03 ermöglicht Steuerung des Systemverhaltens durch Platzieren einer schädlichen Bibliothek, die von der Anwendung ausgeführt werden 

4. Score 7.6 (High priority)

Nummer: 3358300

 [CVE-2023-39437] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Business One

Cross-Site-Scripting (XSS) ermöglicht das Einfügen schädlichen Code in den Inhalt einer Webseite / Anwendung und an den Clienten zu senden >> Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung

5. Score 7.6 (High priority)

Nummer: 3317710

[CVE-2023-37490] Binärer Hijacking-Angriff in SAP BusinessObjects Business Intelligence Suite (Installationsprogramm)

Überschreibung einer ausführbaren Datei durch authentifizierten Angreifer im Netzwerk während Installationsprozesses möglich >> Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems

6. Score 7.5 (High priority)

Nummer: 3312047

Denial-of-Service-Schwachstelle (DoS) aufgrund der Verwendung einer anfälligen Version von Commons FileUpload in SAP-BusinessObjects-Business-Intelligence-Plattform (CMC) Verwendetung einer anfällige Version von Commons FileUpload. Aufgrund von CVE-2023-24998 anfällig für Denial-of-Service ist. 

7. Score 7.5 (High priority)

Nummer: 3344295

[CVE-2023-37491] Schwachstelle aufgrund falscher Berechtigungsprüfung in SAP Message Server

 Möglicher Zugang in den Netzwerkverbund der SAP-Systeme , die vom angegriffenen SAP-Message-Server gesteuert werden. >>  unberechtigter Lese- und Schreibzugriffen auf Daten sowie zu einer Nichtverfügbakeit des Systems 

8. Score 7.1 (High priority)

Nummer: 3337797

[CVE-2023-33993] SQL-Injection-Schwachstelle in SAP Business One (B1i-Schicht)

  Absenden gezielter Abfragen über das Netzwerk möglich. SQL-Daten kann gelesen oder geändert werden >> Beeinträchtigung der Vertraulichkeit , der Integrität und Verfügbarkeit der Anwendung

9. Score 6.3 (Medium priority)

Nummer: 2032723

UPDATE 08. August 2023:

Schaltbare Berechtigungsprüfungen für RFC in SRM

  neue schaltbare Berechtigungsprüfungen für RFC-Funktionsbausteine im Supplier Relationship Management

10. Score 6.1 (Medium priority)

Nummer: 3350494

[CVE-2023-37488] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Process Integration

 Benutzergesteuerte Eingaben können bei unzureichender Kodierung zu einem Cross-Site-Scripting-Angriff (XSS) führen

11. Score 6.1 (Medium priority)

Nummer: 3149794

Cross-Site-Scripting-Schwachstelle (XSS) in jQuery-UI-Bibliothek gebündelt mit SAPUI5

Cross-Site-Scripting-Schwachstelle (XSS) durch unzureichend kodierte benutzergesteuerte Eingaben (Einige Widgets auf der jQuery-UI vor Version 1.13.0)

12. Score 5.9 (Medium priority)

Nummer: 3341934

[CVE-2023-37486] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Commerce (OCC-API)

 Möglicher Zugriff auf Informationen (mit eingeschränktem Zugriff)  >>starken Beeinträchtigung der Vertraulichkeit

13. Score 5.8 (Medium priority)

Nummer: 2067220

[CVE-2023-39436] Offenlegung von Informationen in SAP Supplier Relationship Management

 Gezielt Angriffe gegen SRM möglich

14. Score 5.3 (Medium priority)

Nummer: 3333616

[CVE-2023-37487] Sicherheitsschwachstelle in SAP Business One (Service-Schicht) aufgrund einer Fehlkonfiguration

Zugriff über das Netzwerk auf unbeabsichtigte Daten möglich >>  großen Auswirkungen auf die Vertraulichkeit

15. Score 4.9  (Medium priority)

Nummer: 3348000

[CVE-2023-37492] Fehlende Berechtigungsprüfung in SAP NetWeaver AS ABAP und ABAP-Plattform

 Schwerwiegender Angriff durch Lesen sensibler Informationen möglich.

16. Score 4.4  (Medium priority)

Nummer: 3312586

[CVE-2023-39440] Schwachstelle bezüglich der Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform

 Möglicherweise Zugriff auf die Anmeldeinformationen. Angreifer benötigt lokalen Zugriff auf das System

17. Score 3.7  (Low priority)

Nummer: 3358328

[CVE-2023-36926] Schwachstelle bei Offenlegung von Informationen in SAP Host-Agent

 Mögliches Aufrufen von Lesefunktionen. Angreifer kann  somit einige weniger vertrauliche Informationen über den Server sammeln