Cross-Site-Scripting-LĂĽcken in SAP-Produkten
Schwachstellen in SAPs Web Dynpro Java und im Internet Communication Framework machen die Software für Cross-Site-Scripting-Angriffe anfällig.
Cyrill Brunschwiler von Compass Security hat Schwachstellen in mehreren SAP-Produkten gemeldet, die Cross-Site-Scripting-Angriffe ermöglichen. Die Fehler finden sich in SAPs Web Dynpro Java und im Internet Communication Framework.
Das Internet Communication Framework liefert bei einer fehlgeschlagenen Anmeldung eine Fehlerseite zurück. In diese integriert die Software Benutzereingaben aus der Anmeldung, ohne sie vorher zu filtern – bösartige Individuen können damit eine Cross-Site-Scripting-Attacke ausführen. Sofern Web Dynpro Java im Test- oder Entwicklungsmodus läuft, liefert die NetWeaver-Anwendung in Antworten den User-Agent-Header zurück, ohne ihn vorher zu überprüfen. Angreifer könnten mittels JavaScript oder Flash den User-Agent fälschen und damit die Lücke ausnutzen.
Betroffen sind SAP NetWeaver Nw04 SP15 bis SP 19 und Nw04s SP7 bis SP 11 sowie SAP Basis component 640 SP20 und 700 SP12. SAP stellt registrierten Anwendern Patches bereit, die die LĂĽcken schlieĂźen.
Siehe dazu auch:
- Multiple XSS, HTML Injection in NetWeaver, Web Dynpro Java, Sicherheitsmeldung von Compass Security
- Multiple XSS, HTML Injection in Internet Communication Framework, Fehlermeldung von Compass Security
(dmk)
