„WISSENSwerth“

SAP NEWS: Patchday August 2023

Hier findet ihr eine Übersicht der SAP Security Notes für August 2023:

1. Score 9.8  (Hot News)

Nummer: 3341460

[CVE-2023-37483] Mehrere Schwachstellen in SAP PowerDesigner

•  Beliebige Abfragen an die Backend-Datenbank
•  Möglicher Zugriff auf Kennwort-Hashes des Backend-Systems

2. Score 8.8 (High priority)

Nummer: 3346500

[CVE-2023-39439] Falsche Authentifizierung in SAP Commerce Cloud

•  Mögliche Anmeldung des Benutzers ohne Kennphrase am System 

3. Score 7.8 (High priority)

Nummer: 3341599

[CVE-2023-36923] Code-Injection-Schwachstelle in SAP PowerDesigner

•  Kombination von SAP SQLA für PowerDesigner 17 mit SAP PowerDesigner 16.7 SP06 PL03 ermöglicht Steuerung des Systemverhaltens durch Platzieren einer schädlichen Bibliothek, die von der Anwendung ausgeführt werden 

4. Score 7.6 (High priority)

Nummer: 3358300

 [CVE-2023-39437] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Business One

Cross-Site-Scripting (XSS) ermöglicht das Einfügen schädlichen Code in den Inhalt einer Webseite / Anwendung und an den Clienten zu senden >> Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung

5. Score 7.6 (High priority)

Nummer: 3317710

[CVE-2023-37490] Binärer Hijacking-Angriff in SAP BusinessObjects Business Intelligence Suite (Installationsprogramm)

Überschreibung einer ausführbaren Datei durch authentifizierten Angreifer im Netzwerk während Installationsprozesses möglich >> Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems

6. Score 7.5 (High priority)

Nummer: 3312047

7. Score 7.5 (High priority)

Nummer: 3344295

[CVE-2023-37491] Schwachstelle aufgrund falscher Berechtigungsprüfung in SAP Message Server

 Möglicher Zugang in den Netzwerkverbund der SAP-Systeme , die vom angegriffenen SAP-Message-Server gesteuert werden. >>  unberechtigter Lese- und Schreibzugriffen auf Daten sowie zu einer Nichtverfügbakeit des Systems 

8. Score 7.1 (High priority)

Nummer: 3337797

[CVE-2023-33993] SQL-Injection-Schwachstelle in SAP Business One (B1i-Schicht)

  Absenden gezielter Abfragen über das Netzwerk möglich. SQL-Daten kann gelesen oder geändert werden >> Beeinträchtigung der Vertraulichkeit , der Integrität und Verfügbarkeit der Anwendung

9. Score 6.3 (Medium priority)

Nummer: 2032723

Schaltbare Berechtigungsprüfungen für RFC in SRM

  neue schaltbare Berechtigungsprüfungen für RFC-Funktionsbausteine im Supplier Relationship Management

10. Score 6.1 (Medium priority)

Nummer: 3350494

[CVE-2023-37488] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Process Integration

 Benutzergesteuerte Eingaben können bei unzureichender Kodierung zu einem Cross-Site-Scripting-Angriff (XSS) führen

11. Score 6.1 (Medium priority)

Nummer: 3149794

Cross-Site-Scripting-Schwachstelle (XSS) in jQuery-UI-Bibliothek gebündelt mit SAPUI5

Cross-Site-Scripting-Schwachstelle (XSS) durch unzureichend kodierte benutzergesteuerte Eingaben (Einige Widgets auf der jQuery-UI vor Version 1.13.0)

12. Score 5.9 (Medium priority)

Nummer: 3341934

[CVE-2023-37486] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Commerce (OCC-API)

 Möglicher Zugriff auf Informationen (mit eingeschränktem Zugriff)  >>starken Beeinträchtigung der Vertraulichkeit

13. Score 5.8 (Medium priority)

Nummer: 2067220

14. Score 5.3 (Medium priority)

Nummer: 3333616

[CVE-2023-37487] Sicherheitsschwachstelle in SAP Business One (Service-Schicht) aufgrund einer Fehlkonfiguration

Zugriff über das Netzwerk auf unbeabsichtigte Daten möglich >>  großen Auswirkungen auf die Vertraulichkeit

15. Score 4.9  (Medium priority)

Nummer: 3348000

[CVE-2023-37492] Fehlende Berechtigungsprüfung in SAP NetWeaver AS ABAP und ABAP-Plattform

 Schwerwiegender Angriff durch Lesen sensibler Informationen möglich.

16. Score 4.4  (Medium priority)

Nummer: 3312586

[CVE-2023-39440] Schwachstelle bezüglich der Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform

 Möglicherweise Zugriff auf die Anmeldeinformationen. Angreifer benötigt lokalen Zugriff auf das System

17. Score 3.7  (Low priority)

Nummer: 3358328

[CVE-2023-36926] Schwachstelle bei Offenlegung von Informationen in SAP Host-Agent

 Mögliches Aufrufen von Lesefunktionen. Angreifer kann  somit einige weniger vertrauliche Informationen über den Server sammeln