SAP NEWS: Patchday April 2024
Hier findet ihr eine Übersicht der SAP Security Notes für April 2024:
1. Score 8.8 (High priority)
Nummer: 3434839
[CVE-2024-27899] Schwachstelle mit Blick auf falsche Sicherheitskonfiguration in SAP NetWeaver AS Java User Management Engine
Die Funktionen der Selbstregistrierung und Profilbearbeitung in der Benutzerverwaltungsanwendung von SAP NetWeaver AS Java erfüllen nicht die erforderlichen Sicherheitsstandards für die neu definierten Sicherheitsanforderungen. Diese Schwachstelle könnte von einem Angreifer ausgenutzt werden, um erhebliche Vertraulichkeitsrisiken sowie geringfügige Beeinträchtigungen der Integrität und Verfügbarkeit zu verursachen.
2. Score 7.7 (High priority)
Nummer: 3421384
[CVE-2024-25646] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP BusinessObjects Web Intelligence
Durch eine fehlerhafte Validierung ermöglicht das SAP-BusinessObjects-Business-Intelligence-Launchpad einem authentifizierten Angreifer den Zugriff auf Betriebssysteminformationen über ein erstelltes Dokument. Die erfolgreiche Ausnutzung dieser Schwachstelle kann erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung haben.
3. Score 7.2 (High priority)
Nummer: 3438234
[CVE-2024-27901] Directory-Traversal-Schwachstelle in SAP Asset Accounting
„Durch die unzureichende Validierung der von Benutzern bereitgestellten Pfadinformationen in SAP Asset Accounting kann ein Angreifer mit hohen Berechtigungen diese an die Datei-APIs übergeben und somit erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung verursachen.
4. Score 6.8 (High priority)
Nummer: 3442741
Stack-Überlauf-Schwachstelle in Komponentenbildern von SAP Integration Suite (EDGE INTEGRATION CELL)
Eine Stack-Überlauf-Schwachstelle wurde in Open Source ash.c:6030 in busybox entdeckt. Diese Schwachstelle ermöglicht es einem Angreifer, beliebigen Code aus der Befehlszeile in einem Container-Image auszuführen. Es ist jedoch nur möglich, Befehle über die Anwendung selbst auszuführen, wenn der Zugriff auf laufende Container nicht eingeschränkt ist. Dies hat potenziell hohe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.
5. Score 6.5 (High priority)
Nummer: 3359778
[CVE-2024-30218] Denial-of-Service-Schwachstelle (DoS) in SAP NetWeaver AS ABAP und ABAP-Plattform
Durch das gezielte Auslösen von Abstürzen oder das Überfluten des Service können Angreifer den Zugriff rechtmäßiger Benutzer auf einen Service auf dem ABAP Application Server und der ABAP-Plattform verhindern. Dies führt zu erheblichen Beeinträchtigungen der Verfügbarkeit des betroffenen Services.
6. Score 6.5 (Medium priority)
Nummer: 3164677
[CVE-2022-29613] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Employee Self-Service (SAP Fiori „Meine Abwesenheitsanträge)
Aufgrund unzureichender Eingabevalidierung in SAP Employee Self-Service kann ein authentifizierter Angreifer mit Benutzerberechtigungen die Mitarbeiternummer ändern. Nach erfolgreicher Ausnutzung der Schwachstelle kann der Angreifer persönliche Daten anderer Benutzer anzeigen, was sich nur begrenzt auf die Vertraulichkeit der Anwendung auswirkt.
7. Score 6.5 (Medium priority)
Nummer: 3442378
[CVE-2024-28167] Fehlende Berechtigungsprüfung in SAP Group Reporting Data Collection (Paketdaten eingeben)
Für authentifizierte Benutzer führt SAP Group Reporting Data Collection keine erforderlichen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führt. Dadurch kann ein Benutzer bestimmte Daten über die App „Paketdaten eingeben“ ändern, selbst wenn er nicht über ausreichende Berechtigungen verfügt. Dies stellt eine erhebliche Bedrohung für die Integrität der Anwendung dar.
8. Score 6.1 (Medium priority)
Nummer: 3156972
[CVE-2023-40306] URL-Umleitungsschwachstelle in SAP S/4HANA (Katalogpositionen verwalten und katalogübergreifende Suche)
Durch eine unzureichende URL-Validierung in den SAP-Fiori-Apps „Katalogpositionen verwalten“ und „Katalogübergreifende Suche“ in SAP S/4HANA besteht die Gefahr, dass ein Angreifer Benutzer auf eine schädliche Website umleiten kann. Obwohl dies nur geringfügige Auswirkungen auf die Vertraulichkeit und Integrität hat, stellt es dennoch eine potenzielle Bedrohung dar.
9. Score 5.3 (Medium priority)
Nummer: 3425188
[CVE-2024-27898] Serverseitige Request-Forgery in SAP NetWeaver (tc~esi~esp~grmg~wshealthcheck~ear)
Aufgrund unzureichender Eingabevalidierung gestattet die SAP-NetWeaver-Anwendung (tcesiespgrmgwshealthcheck~ear) nicht authentifizierten Angreifern das Senden gezielter Anfragen aus einer anfälligen Webanwendung heraus. Diese Anfragen könnten interne Systeme hinter Firewalls angreifen, die normalerweise nicht über das externe Netzwerk zugänglich sind. Dies könnte potenziell schwerwiegende Schwachstellen für serverseitige Request-Forgery verursachen, die jedoch nur geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung haben.
10. Score 4.8 (Medium priority)
Nummer: 3421453
[Mehrere CVEs] Cross-Site-Scripting-Schwachstellen (XSS) in SAP Business Connector
Der vorliegende SAP-Sicherheitshinweis betrifft verschiedene Schwachstellen, die im SAP Business Connector entdeckt wurden. Im Folgenden finden Sie Details zu den Sicherheitslücken sowie relevante Informationen:
- Cross-Site Scripting (Reflected)
- CVE-2024-30214
- CVSS Score: 4.8; CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
Die Anwendung erlaubt einem Angreifer mit hohen Berechtigungen, einen schädlichen GET-Abfrageparameter an Serviceaufrufe anzufügen, die in der Serverantwort reflektiert werden. Wenn der Parameter JavaScript enthält, könnte das Skript unter bestimmten Umständen auf der Client-Seite ausgeführt werden.
- Cross-Site Scripting (Stored)
- CVE-2024-30215
- CVSS Score: 4.8; CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
Ein Angreifer mit hohen Berechtigungen kann auf der Seite Ressourceneinstellungen eine schädliche Nutzlast speichern und wiedergeben, wenn ein Benutzer die Seite aufruft. Ein erfolgreicher Angriff könnte einige Informationen offengelegt und/oder modifiziert werden. Es sei jedoch angemerkt, dass der Angreifer keine Kontrolle darüber hat, welche Informationen erlangt werden, und dass der Umfang oder die Art des möglichen Schadens begrenzt ist.
11. Score 4.3 (Medium priority)
Nummer: 3430173
[CVE-2024-30217] Fehlende Berechtigungsprüfung in SAP S/4HANA (Cash Management)
Cash Management in SAP S/4HANA weist eine Schwachstelle auf, bei der für authentifizierte Benutzer nicht die erforderlichen Berechtigungsprüfungen durchgeführt werden. Dies kann zu einer Rechteausweitung führen, wodurch ein Angreifer die Möglichkeit erhält, einen Bankkontenantrag zu genehmigen oder abzulehnen. Diese Handlung beeinflusst die Integrität des Antrags, während Vertraulichkeit und Verfügbarkeit nicht betroffen sind.
12. Score 4.3 (Medium priority)
Nummer: 3427178
[CVE-2024-30216] Fehlende Berechtigungsprüfung in SAP S/4HANA (Cash Management)
Cash Management in SAP S/4HANA weist eine Schwachstelle auf, bei der für authentifizierte Benutzer nicht die erforderlichen Berechtigungsprüfungen durchgeführt werden. Dadurch kann ein Angreifer Notizen in der Review-Anforderung mit dem Status „Abgeschlossen“ hinzufügen, was sich auf die Integrität der Anwendung auswirken kann. Vertraulichkeit und Verfügbarkeit sind davon nicht betroffen.