Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

SAP Patchday: Acht neue SicherheitslĂĽcken, davon eine hochriskant

Admins können etwas entspannter auf den aktuellen SAP-Patchday schauen: Von acht neuen Sicherheitslücken gilt lediglich eine als hohes Risiko.

In Pocket speichern vorlesen Druckansicht
Stilisiertes Bild: Laptop mit SAP-Logo brennt, vor Serverracks

Es gibt SicherheitslĂĽcken in SAP-Produkten.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von

SAP hat die Sicherheitsflicken zum November-Patchday veröffentlicht. Sie behandeln acht neu gemeldete Schwachstellen. Aktualisierungen gibt es zudem für zwei ältere Sicherheitsnotizen.

In der Patchday-Übersicht listet SAP die einzelnen Sicherheitsnotizen auf. Am schwersten wiegt eine Cross-Site-Scripting-Lücke im SAP Web Dispatcher. Angreifer können ohne vorherige Anmeldung einen bösartigen Link erstellen und veröffentlichen. Klickt ein Opfer darauf, kommen die darin übergebenen Daten in dessen Kontext zur Ausführung (CVE-2024-47590, CVSS 8.8, Risiko "hoch"). Die Einschätzung des Risikos durch die SAP-Entwickler verpasst also nur knapp den Schweregrad "kritisch". IT-Verantwortliche sollten zügig das hierfür bereitstehende Update anwenden.

Weitere SAP-Schwachstellen

Sechs weitere SicherheitslĂĽcken in SAP-Produkten bedeuten fĂĽr Betroffene ein mittleres Risiko. Eine weitere Schwachstelle ordnen die Walldorfer als niedrigen Bedrohungsgrad ein. Die beiden aktualisierten Sicherheitsnotizen betreffen zudem ein hohes Sicherheitsrisiko aufgrund fehlender AutorisierungsprĂĽfung in SAP PDCE (am Juli-Patchday korrigiert) sowie ein niedriges Risiko bei einem gleichartigen Fehler in SAP Bank Account Management aus dem Mai.

Die einzelnen neuen Sicherheitsnotizen betreffen folgende Produkte:

  • Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher, CVE-2024-47590, CVSS 8.8, Risiko "hoch"
  • Missing Authorization check in SAP NetWeaver AS Java (System Landscape Directory), CVE-2024-42372, CVSS 6.5, mittel
  • Local Privilege Escalation in SAP Host Agent, CVE-2024-47595, CVSS 6.3, mittel
  • Information Disclosure Vulnerability in SAP NetWeaver Application Server Java (Logon Application), CVE-2024-47592, CVSS 5.3, mittel
  • NULL Pointer Dereference vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform, CVE-2024-47586, CVSS 5.3, mittel
  • Information Disclosure vulnerability in SAP NetWeaver Java (Software Update Manager), CVE-2024-47588, CVSS 4.7, mittel
  • Information Disclosure Vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform, CVE-2024-47593, CVSS 4.3, mittel
  • Missing authorization check in SAP Cash Management (Cash Operations), CVE-2024-47587, CVSS 3.5, niedrig

Administratorinnen und Administratoren finden in der Ăśbersicht von SAP Verlinkungen zu internen Dokumenten mit Details zu den SicherheitslĂĽcken, die nach dem Log-in zugreifbar werden.

Lesen Sie auch

Im Oktober hatte SAP sechs neue SicherheitslĂĽcken in den Business-Produkten gemeldet. Allerdings galten davon zwei als hohes Risiko, die dadurch zĂĽgig bekĂĽmmert werden sollten.

(dmk)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten