Verschiedene Business-Anwendungen von SAP wie Busineess One, Message Server und PowerDesigner sind verwundbar. In einigen Fällen können Angreifer Systeme mit Schadcode attackieren.
Wie aus den Patch-Notizen für August hervorgeht, gelten zwei Lücken (CVE-2023-37483, CVE-2023-37484) in PowerDesigner als "kritisch". Aufgrund einer unzureichenden Zugriffskontrolle können Angreifer über einen Proxy auf die Backend-Datenbank zugreifen. Über die zweite Schwachstelle sind Passwort-Hashes auslesbar. Außerdem kann ein lokaler Angreifer mit Schadcode verseuchte Bibliotheken auf Systemen platzieren (CVE-2023-36923 "hoch"). .
Aufgrund von Authentifizierungsproblemen (CVE-2023-39439 "hoch") ist es möglich, dass ein Angreifer sich ohne Passphrase an Commerce Cloud anmelden kann. BusinessObjects ist für eine DoS-Attacke anfällig. SAP Commerce kann Daten leaken (CVE-2023-37486 "mittel").
Sicherheitspatches sind verfügbar und sollten zeitnah installiert werden.
Über 90.000 Leser vertrauen bereits darauf – wählen Sie jetzt Ihr passendes Paket!
Mit heise+ lesen Sie alle Inhalte auf heise online. Zusätzlich zu unseren Magazin-Inhalten erhalten Sie damit weitere exklusive Tests, Ratgeber und Hintergründe.
