Patchday: Angreifer können Zugangsbeschränkungen von SAP PowerDesigner umgehen
Attacken vorbeugen: Firmen-Admins sollten ihre SAP-Anwendungen auf den aktuellen Stand bringen.
(Bild: heise online)
Verschiedene Business-Anwendungen von SAP wie Busineess One, Message Server und PowerDesigner sind verwundbar. In einigen Fällen können Angreifer Systeme mit Schadcode attackieren.
Jetzt patchen!
Wie aus den Patch-Notizen für August hervorgeht, gelten zwei Lücken (CVE-2023-37483, CVE-2023-37484) in PowerDesigner als "kritisch". Aufgrund einer unzureichenden Zugriffskontrolle können Angreifer über einen Proxy auf die Backend-Datenbank zugreifen. Über die zweite Schwachstelle sind Passwort-Hashes auslesbar. Außerdem kann ein lokaler Angreifer mit Schadcode verseuchte Bibliotheken auf Systemen platzieren (CVE-2023-36923 "hoch"). .
Aufgrund von Authentifizierungsproblemen (CVE-2023-39439 "hoch") ist es möglich, dass ein Angreifer sich ohne Passphrase an Commerce Cloud anmelden kann. BusinessObjects ist für eine DoS-Attacke anfällig. SAP Commerce kann Daten leaken (CVE-2023-37486 "mittel").
Sicherheitspatches sind verfügbar und sollten zeitnah installiert werden.
(des)
