Eine als „hoch" eingestufte Schwachstelle betrifft eine Cross-Site-Scripting-Schwachstelle (XSS) in SAP Web Dispatcher
Produkt: SAP Web Dispatcher, Versionen - WEBDISP 7.77, 7.89, 7.93, KERNEL 7.77, 7.89, 7.93, 9.12, 9.13
- Aufgrund der Cross-Site-Scripting-Schwachstelle kann ein Angreifer ohne Authentifizierung einen schädlichen Link erstellen und öffentlich zugänglich machen. Wenn ein authentifizierter Benutzer diesen Link anklickt, nutzt die Website die Eingabedaten zur Generierung von Inhalten. Dies kann dem Angreifer die Möglichkeit geben, im Browser des Benutzers schädlichen Code auszuführen (XXS) oder Daten an einen anderen Server zu senden (SSRF).
- Durch diese Schwachstelle könnte der Angreifer beliebigen Code auf dem Server ausführen, was die Vertraulichkeit, Integrität und Verfügbarkeit des Systems vollständig bedroht.
- Die Schwachstelle erfordert, dass das Opfer sich über den Browser in die Administrations-UI einloggt. Systeme ohne berechtigte Benutzer für die Administrations-UI sind nicht gefährdet.
- Die SAP empfiehlt, die im vorliegenden SAP-Sicherheitshinweis 3520281 referenzierten Patche und Support Packages einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis: 3520281
Eine weitere als hoch eingestufte Schwachstelle betrifft eine fehlende Berechtigungsprüfung in SAP PDCE
Produkt: SAP PDCE Versionen - S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108
Elemente von PDCE führen bei authentifizierten Benutzern keine angemessenen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führt.
- Dadurch hat ein Angreifer die Möglichkeit, sensible Informationen zu lesen, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung zur Folge hat.
- Die SAP hat die betroffenen Funktionen nun deaktiviert, um die Zugriffe einzuschränken.
- Die SAP empfiehlt, das entsprechende Support Package oder die beigefügte Korrekturanleitung aus dem Sicherheitshinweis einzuspielen.
- Mehr dazu finden Sie unter dem Hinweis: 3483344
Nähere Informationen zu allen veröffentlichten Sicherheitslücken vom SAP Patch Day November finden Sie hier.
Wenn Sie Unterstützung bei der Bewertung der Sicherheitslücken in Bezug auf Ihre Systeme benötigen, wenden Sie sich gern direkt an René Studtmann.