SAP Patchday: Acht neue Sicherheitslücken, davon eine hochriskant

SAP hat die Sicherheitsflicken zum November-Patchday veröffentlicht. Sie behandeln acht neu gemeldete Schwachstellen. Aktualisierungen gibt es zudem für zwei ältere Sicherheitsnotizen.

Anzeige

In der Patchday-Übersicht listet SAP die einzelnen Sicherheitsnotizen auf. Am schwersten wiegt eine Cross-Site-Scripting-Lücke im SAP Web Dispatcher. Angreifer können ohne vorherige Anmeldung einen bösartigen Link erstellen und veröffentlichen. Klickt ein Opfer darauf, kommen die darin übergebenen Daten in dessen Kontext zur Ausführung (CVE-2024-47590, CVSS 8.8, Risiko "hoch"). Die Einschätzung des Risikos durch die SAP-Entwickler verpasst also nur knapp den Schweregrad "kritisch". IT-Verantwortliche sollten zügig das hierfür bereitstehende Update anwenden.

Sechs weitere Sicherheitslücken in SAP-Produkten bedeuten für Betroffene ein mittleres Risiko. Eine weitere Schwachstelle ordnen die Walldorfer als niedrigen Bedrohungsgrad ein. Die beiden aktualisierten Sicherheitsnotizen betreffen zudem ein hohes Sicherheitsrisiko aufgrund fehlender Autorisierungsprüfung in SAP PDCE (am Juli-Patchday korrigiert) sowie ein niedriges Risiko bei einem gleichartigen Fehler in SAP Bank Account Management aus dem Mai.

Die einzelnen neuen Sicherheitsnotizen betreffen folgende Produkte:

Cross-Site Scripting (XSS) vulnerability in SAP Web Dispatcher, CVE-2024-47590, CVSS 8.8, Risiko "hoch"Missing Authorization check in SAP NetWeaver AS Java (System Landscape Directory), CVE-2024-42372, CVSS 6.5, mittelLocal Privilege Escalation in SAP Host Agent, CVE-2024-47595, CVSS 6.3, mittelInformation Disclosure Vulnerability in SAP NetWeaver Application Server Java (Logon Application), CVE-2024-47592, CVSS 5.3, mittelNULL Pointer Dereference vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform, CVE-2024-47586, CVSS 5.3, mittelInformation Disclosure vulnerability in SAP NetWeaver Java (Software Update Manager), CVE-2024-47588, CVSS 4.7, mittelInformation Disclosure Vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform, CVE-2024-47593, CVSS 4.3, mittelMissing authorization check in SAP Cash Management (Cash Operations), CVE-2024-47587, CVSS 3.5, niedrig

Administratorinnen und Administratoren finden in der Übersicht von SAP Verlinkungen zu internen Dokumenten mit Details zu den Sicherheitslücken, die nach dem Log-in zugreifbar werden.

Im Oktober hatte SAP sechs neue Sicherheitslücken in den Business-Produkten gemeldet. Allerdings galten davon zwei als hohes Risiko, die dadurch zügig bekümmert werden sollten.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)