Alert!

SAP-Patchday: Angreifer können Systeme durch Sicherheitslücke kompromittieren

SAP gibt zum Mai-Patchday 14 neue Sicherheitsnotizen heraus. Angreifer können durch die Lücken etwa Schadcode einschmuggeln.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Stilisiertes Bild: Laptop mit SAP-Logo brennt, vor Serverracks

Es gibt Sicherheitslücken in SAP-Produkten.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Vierzehn Sicherheitsnotizen zu Schwachstellen in diversen Produkten aus dem Hause hat SAP zum Mai-Patchday veröffentlicht. Darunter finden sich auch als kritisches Risiko betrachtete Sicherheitslecks. Admins sollten die bereitstehenden Aktualisierungen zügig installieren.

Die Patchday-Übersicht von SAP listet Informationen zu den Schwachstellen und betroffener Produkte auf. Etwa in SAP CX Commerce finden sich mehrere Sicherheitslücken, wie eine CSS-Injection-Schwachstelle in Swagger UI aus 2019 oder in einem JDBC-Treiber von Apache Calcite Avatica aus 2022, die jetzt eine kritische Einstufung erhalten, mit einem CSS-Wert von 9.8. In SAP NetWeaver Application Server ABAP und ABAP Platform schlummert hingegen eine Lücke, die nicht angemeldete Angreifer durch das Hochladen einer bösartigen Datei provozieren und dadurch den Server vollständig kompromittieren können (CVE-2024-33006, CVSS 9.6, kritisch).

In der SAP BusinessObjects Business Intelligence Platform können Angreifer eine Stored-Cross-Site-Scripting-Lücke angreifen, um Parameter in einer Opendocument-URL zu manipulieren (CVE-2024-28165, CVSS 8.1, hoch). Das habe einen starken Einfluss auf die Vertraulichkeit und Integrität der Anwendung, schreiben SAP Entwickler in dem zugehörigen CVE-Eintrag.

Weitere Sicherheitslücken mit mittlerem oder niedrigem Bedrohungsgrad betreffen in absteigender Reihenfolge den SAP Enable Now Manager, SAP NetWeaver Application Server für ABAP und ABAP Platform, SAP S/4HANA (Document Service Handler für DPS), SAP My Travel Requests, SAP Replication Server, SAP S/4 HANA (Manage Bank Statement Reprocessing Rules), SAP BusinessObjects Business Intelligence Platform (Webservices), SAP Global Label Management, SAP Bank Account Management sowie SAP UI5 (PDFViewer). Auch hierfür stellt SAP natürlich Updates bereit, die die sicherheitsrelevanten Fehler ausbügeln.

Weitergehende Informationen zu den Schwachstellen, davon betroffener Produkte und Software-Flicken erhalten SAP-Kunden nach Log-in in ihren SAP-Account. Die einzelnen Sicherheitsnotizen sind in der Patchday-Übersicht verlinkt.

Im April hatte SAP zehn Sicherheitslücken in den diversen Produkten abgedichtet. Davon hatten die Entwickler drei als hohes Risiko eingestuft.

(dmk)