Patchday: SAP rüstet Unternehmenssoftware gegen etwaige Angriffe
Es sind wichtige Sicherheitsupdates unter anderem für SAP Commerce und NetWeaver erschienen.
(Bild: heise online)
Angreifer können Unternehmenssoftware von SAP attackieren und dabei eigentlich abgeschottete Informationen einsehen. Nun hat der Softwarehersteller Sicherheitspatches für mehrere Anwendungen veröffentlicht.
Die gefährlichsten Lücken
In einer Warnmeldung schreiben die Entwickler, dass Angreifer beispielsweise an einer Sicherheitslücke (CVE-2024-39592 "hoch") in Product Design Cost Estimation (PDCE) ansetzen können, um auf sensible Daten zuzugreifen. Das klappt, weil Berechtigungen angemeldeter Nutzer nicht geprüft werden.
Eine weitere mit dem Bedrohungsgrad "hoch" eingestufte Schwachstelle (CVE-2024-39597) betrifft Commerce. An dieser Stelle können Angreifer die Passwort-Vergessen-Funktion missbrauchen, um Zugriff auf bestimmte Seiten zu bekommen.
Die verbleibenden Lücken betreffen Business Warehouse, Business Workflow, CRM WebClient UI, Document Builder, Enable Now, GUI for Windows, Landscape Builder, NetWeaver Application Server, NetWeaver Knowledge Management XMLEditor, und S/4HANA Finance. Die Schwachstellen sind mit "mittel" eingestuft. Sind Attacken erfolgreich, können Angreifer unter anderem eigene Dateien hochladen
(des)