Patchday: Fixes für SAP Commerce beseitigen Gefahr durch Remote Code Execution
Neben SAP Commerce versorgte SAP unter anderem NetWeaver Master Data Management, Solution Manager, NetWeaver und SAPSetup mit frischen Security-Updates.
(Bild: heise online / Shutterstock (Collage))
SAPs Advisory zum monatlichen Security-Patchday enthält "Hot News", so die interne Bezeichnung für kritische Sicherheitslücken. Die betreffende Lücke mit der CVE-ID CVE-2021-27602 (CVSS-Score 9.9 von möglichen 10) fußt auf fehlerhaften Source Rules in den SAP Commerce-Versionen 1808, 1811, 1905, 2005 und 2011.
Weiterführende Informationen liefert der MITRE-Schwachstelleneintrag zu CVE-2021-27602: Demnach hätte ein Angreifer, der über die nötigen Berechtigungen zum Anlegen von Source Rules verfügt, schädlichen Code in die Rules zu injizieren und letztlich aus der Ferne Code ausführen können (Remote Code Execution).
"High"-Lücken aus NetWeaver und Co. beseitigt
Weitere aktuelle Sicherheitshinweise und Updates von SAP zielen auf vier Sicherheitslücken mit "High"-Einstufung in NetWeaver Master Data Management, Solution Manager, NetWeaver AS für Java und SAPSetup. Zudem wurden zahlreiche Medium-Lücken in verschiedenen Produkten geschlossen.
Wie immer fasst SAPs Advisory zum Security Patchday sämtliche Aktualisierungen zusammen; verlinkte Security Notes liefern im geschützten Kundenbereich Zusatz- und Update-Informationen. Das Advisory weist auch auf einige aktualisierte Sicherheitshinweise aus den Vormonaten hin, auf die Anwender der betreffenden Produkte ebenfalls einen Blick werfen sollten.
(ovw)