SAP NEWS: Patchday Juni 2024
Hier findet ihr eine Übersicht der SAP Security Notes für Juni 2024:
1. Score 8.1 (High priority)
Nummer: 3457592
[CVE-2024-37177] Cross-Site-Scripting-(XSS)-Schwachstellen in SAP Financial Consolidation
Dieser Sicherheitshinweis behandelt zwei Schwachstellen in SAP Financial Consolidation. Details und CVE-Informationen finden Sie im SAP-Hinweis.
Reflected XSS
Daten aus nicht vertrauenswürdigen Quellen können über das Netzwerk in die Webanwendung gelangen und den Inhalt der Website ändern. Dies kann die Vertraulichkeit und Integrität der Anwendung erheblich beeinträchtigen.
- CVE-2024-37177
- CVSS Score: 8.1; CVSS:3.0/AV/AC /PR /UI /S /C /I /A
Stored XSS
Unzureichende Kodierung benutzergesteuerter Eingaben führt zu einer XSS-Schwachstelle. Dies kann begrenzte Auswirkungen auf die Vertraulichkeit der Anwendung haben.
- CVE-2024-37178
- CVSS Score: 5.0; CVSS:3.0/AV/AC /PR /UI /S /C /I /A
2. Score 7.5 (High priority)
Nummer: 3460407
[CVE-2024-34688] Denial-of-Service (DOS) in SAP NetWeaver AS Java (Meta Model Repository)
Durch den uneingeschränkten Zugriff auf die Metamodell-Repository-Services in SAP NetWeaver AS Java können Angreifer DoS-Angriffe ausführen, die rechtmäßige Benutzer vom Zugriff auf die Anwendung abhalten. Dies beeinträchtigt nicht die Vertraulichkeit und Integrität, hat jedoch erhebliche Auswirkungen auf die Verfügbarkeit der Anwendung.
3. Score 6.5 (High priority)
Nummer: 3459379
[CVE-2024-34683] Uneingeschränkter Datei-Upload in SAP Document Builder (HTTP-Service)
Eine schädliche Datei kann von einem authentifizierten Angreifer in den Service SAP Document Builder hochgeladen werden. Öffnet ein Opfer diese Datei, kann der Angreifer im Browser des Opfers auf die entsprechenden Informationen zugreifen, sie ändern oder den Zugriff darauf blockieren.
4. Score 6.5 (High priority)
Nummer: 3453170
[CVE-2024-33001] Denial-of-Service-Angriff (DOS) in SAP NetWeaver und ABAP-Platfform
SAP NetWeaver und die ABAP-Plattform sind anfällig für Angriffe, bei denen ein Angreifer durch Absturz oder Überlastung des Services die Leistung für legitime Benutzer beeinträchtigen kann.
Diese Denial-of-Service-Schwachstelle führt zu Verzögerungen und Unterbrechungen, was die Verfügbarkeit der Anwendung stark beeinträchtigt und die Benutzererfahrung deutlich verschlechtert.
5. Score 6.5 (High priority)
Nummer: 3466175
[CVE-2024-34691] Fehlende Berechtigungsprüfung in SAP S/4HANA („Eingangszahlungsdateien verwalten“)
Die SAP S/4HANA-App „Eingangszahlungsdateien verwalten“ überprüft für authentifizierte Benutzer nicht die notwendigen Berechtigungen, was zu einer Rechteausweitung führen kann. Dies hat erhebliche Auswirkungen auf die Integrität des Systems, jedoch keine Auswirkungen auf dessen Vertraulichkeit und Verfügbarkeit.
6. Score 6.1 (Medium priority)
Nummer: 3465129
[CVE-2024-34686] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)
Wegen mangelnder Eingabevalidierung im SAP CRM WebClient UI kann ein nicht authentifizierter Angreifer einen bösartigen URL-Link generieren. Klickt ein Opfer auf diesen Link, wird ein schädliches Skript im Browser des Opfers ausgeführt, wodurch der Angreifer Informationen abgreifen oder manipulieren kann, ohne die Verfügbarkeit der Anwendung zu beeinträchtigen.
7. Score 5.5 (Medium priority)
Nummer: 3465455
[CVE-2024-37176] Fehlende Berechtigungsprüfung in SAP-BW/4HANA-Transformation und DTP
Durch die SAP-BW/4HANA-Transformation und den Datentransferprozess (DTP) kann ein authentifizierter Angreifer durch Ausnutzen unzureichender Berechtigungsprüfungen unerwartet höhere Zugriffsebenen erlangen, was zu einer beträchtlichen Rechteausweitung führen kann. Während die Vertraulichkeit der Daten nicht gefährdet ist, können signifikante Beeinträchtigungen der Integrität und Verfügbarkeit der Anwendung auftreten.
8. Score 5.4 (Medium priority)
Nummer: 3457265
[CVE-2024-34690]
SAP Student Lifecycle Management (SLcM) unterzieht authentifizierte Benutzer keinen angemessenen Berechtigungsprüfungen, was zu einer potenziellen Rechteausweitung führt. Im Erfolgsfall könnte ein Angreifer möglicherweise auf normalerweise eingeschränkte Berichtsvarianten zugreifen und diese bearbeiten, was zwar minimale Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat, jedoch eine ernsthafte Sicherheitslücke darstellt.
9. Score 5.3 (Medium priority)
Nummer: 3425571
[CVE-2024-28164] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS Java (Guided Procedures)
Ein nicht authentifizierter Benutzer kann über SAP NetWeaver AS Java (CAF – Guided Procedures) auf nicht sensible Serverinformationen zugreifen, die normalerweise eingeschränkt wären. Dies hat nur minimale Auswirkungen auf die Vertraulichkeit der Anwendung.
10. Score 3.9 (Low priority)
Nummer: 2638217
Schaltbare Berechtigungsprüfungen in Central-Finance-Infrastrukturkomponenten
In diesem SAP-Hinweis werden neue schaltbare Berechtigungsprüfungen in den Infrastrukturkomponenten von Central Finance beschrieben.
Änderungsprotokoll:
v3 (aktuelle Version) – 28. Mai 2024: Der Hinweis wurde mit aktualisierten Informationen zur Korrekturanleitung erneut veröffentlicht.
v1 (Erstversion)
11. Score 3.7 (Low priority)
Nummer: 3441817
[CVE-2024-34684] Schwachstelle bezüglich der Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform (Scheduling)
Auf Unix-Systemen ermöglicht die SAP-BusinessObjects-Business-Intelligence-Plattform (Scheduling) einem authentifizierten Angreifer mit Administratorzugriff auf dem lokalen Server den Zugriff auf das Kennwort eines lokalen Kontos. Dadurch kann der Angreifer Anmeldeinformationen für nicht-administrative Benutzer abrufen, was ihm wiederum ermöglicht, auf Remote-Serverdateien zuzugreifen oder diese zu ändern.