Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2023-33989 (GCVE-0-2023-33989)
Vulnerability from cvelistv5
Published
2023-07-11 02:28
Modified
2024-10-23 17:29
Severity ?
VLAI Severity ?
EPSS score ?
CWE
- CWE-22 - Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
Summary
An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.
References
| URL | Tags | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||
Impacted products
| Vendor | Product | Version | ||
|---|---|---|---|---|
| SAP_SE | SAP NetWeaver (BI CONT ADD ON) |
Version: 707 Version: 737 Version: 747 Version: 757 |
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-02T15:54:14.322Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"tags": [
"x_transferred"
],
"url": "https://me.sap.com/notes/3331376"
},
{
"tags": [
"x_transferred"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"title": "CVE Program Container"
},
{
"metrics": [
{
"other": {
"content": {
"id": "CVE-2023-33989",
"options": [
{
"Exploitation": "none"
},
{
"Automatable": "no"
},
{
"Technical Impact": "partial"
}
],
"role": "CISA Coordinator",
"timestamp": "2024-10-23T17:25:45.839105Z",
"version": "2.0.3"
},
"type": "ssvc"
}
}
],
"providerMetadata": {
"dateUpdated": "2024-10-23T17:29:51.327Z",
"orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"shortName": "CISA-ADP"
},
"title": "CISA ADP Vulnrichment"
}
],
"cna": {
"affected": [
{
"defaultStatus": "unaffected",
"product": "SAP NetWeaver (BI CONT ADD ON)",
"vendor": "SAP_SE",
"versions": [
{
"status": "affected",
"version": "707"
},
{
"status": "affected",
"version": "737"
},
{
"status": "affected",
"version": "747"
},
{
"status": "affected",
"version": "757"
}
]
}
],
"descriptions": [
{
"lang": "en",
"supportingMedia": [
{
"base64": false,
"type": "text/html",
"value": "\u003cp\u003eAn attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\u003c/p\u003e"
}
],
"value": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n"
}
],
"metrics": [
{
"cvssV3_1": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.7,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "HIGH",
"scope": "CHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H",
"version": "3.1"
},
"format": "CVSS",
"scenarios": [
{
"lang": "en",
"value": "GENERAL"
}
]
}
],
"problemTypes": [
{
"descriptions": [
{
"cweId": "CWE-22",
"description": "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)",
"lang": "eng",
"type": "CWE"
}
]
}
],
"providerMetadata": {
"dateUpdated": "2023-07-11T02:28:49.510Z",
"orgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
"shortName": "sap"
},
"references": [
{
"url": "https://me.sap.com/notes/3331376"
},
{
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"source": {
"discovery": "UNKNOWN"
},
"title": "Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON)",
"x_generator": {
"engine": "Vulnogram 0.1.0-dev"
}
}
},
"cveMetadata": {
"assignerOrgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
"assignerShortName": "sap",
"cveId": "CVE-2023-33989",
"datePublished": "2023-07-11T02:28:49.510Z",
"dateReserved": "2023-05-24T20:41:32.834Z",
"dateUpdated": "2024-10-23T17:29:51.327Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"nvd": "{\"cve\":{\"id\":\"CVE-2023-33989\",\"sourceIdentifier\":\"cna@sap.com\",\"published\":\"2023-07-11T03:15:09.587\",\"lastModified\":\"2024-11-21T08:06:21.703\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\\n\\n\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H\",\"baseScore\":8.7,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"HIGH\",\"userInteraction\":\"NONE\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":2.3,\"impactScore\":5.8},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H\",\"baseScore\":8.1,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":2.8,\"impactScore\":5.2}]},\"weaknesses\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-22\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_bi_content:707:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"BD582724-499B-448A-BCC1-308E4BF4F0E8\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_bi_content:737:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"32710905-F628-494B-BD88-30BA5DC9B995\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_bi_content:747:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"B67959BB-333F-4EC1-88BC-F4CB4B7185EF\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_bi_content:757:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"1E3ACFF9-B538-4693-939A-90426AA1DFC8\"}]}]}],\"references\":[{\"url\":\"https://me.sap.com/notes/3331376\",\"source\":\"cna@sap.com\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://me.sap.com/notes/3331376\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
"vulnrichment": {
"containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://me.sap.com/notes/3331376\", \"tags\": [\"x_transferred\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"tags\": [\"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-02T15:54:14.322Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2023-33989\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-10-23T17:25:45.839105Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-10-23T17:29:46.108Z\"}}], \"cna\": {\"title\": \"Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON)\", \"source\": {\"discovery\": \"UNKNOWN\"}, \"metrics\": [{\"format\": \"CVSS\", \"cvssV3_1\": {\"scope\": \"CHANGED\", \"version\": \"3.1\", \"baseScore\": 8.7, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"HIGH\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H\", \"integrityImpact\": \"HIGH\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"HIGH\", \"privilegesRequired\": \"HIGH\", \"confidentialityImpact\": \"NONE\"}, \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"affected\": [{\"vendor\": \"SAP_SE\", \"product\": \"SAP NetWeaver (BI CONT ADD ON)\", \"versions\": [{\"status\": \"affected\", \"version\": \"707\"}, {\"status\": \"affected\", \"version\": \"737\"}, {\"status\": \"affected\", \"version\": \"747\"}, {\"status\": \"affected\", \"version\": \"757\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://me.sap.com/notes/3331376\"}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\"}], \"x_generator\": {\"engine\": \"Vulnogram 0.1.0-dev\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\\n\\n\", \"supportingMedia\": [{\"type\": \"text/html\", \"value\": \"\u003cp\u003eAn attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\u003c/p\u003e\", \"base64\": false}]}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"eng\", \"type\": \"CWE\", \"cweId\": \"CWE-22\", \"description\": \"CWE-22: Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)\"}]}], \"providerMetadata\": {\"orgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"shortName\": \"sap\", \"dateUpdated\": \"2023-07-11T02:28:49.510Z\"}}}",
"cveMetadata": "{\"cveId\": \"CVE-2023-33989\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2024-10-23T17:29:51.327Z\", \"dateReserved\": \"2023-05-24T20:41:32.834Z\", \"assignerOrgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"datePublished\": \"2023-07-11T02:28:49.510Z\", \"assignerShortName\": \"sap\"}",
"dataType": "CVE_RECORD",
"dataVersion": "5.1"
}
}
}
WID-SEC-W-2023-1705
Vulnerability from csaf_certbund
Published
2023-07-10 22:00
Modified
2023-07-10 22:00
Summary
SAP Patchday Juli 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuführen, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszulösen oder Informationen offenzulegen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuf\u00fchren, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszul\u00f6sen oder Informationen offenzulegen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1705 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1705.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1705 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1705"
},
{
"category": "external",
"summary": "SAP Patchday July 2023 vom 2023-07-11",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday Juli 2023",
"tracking": {
"current_release_date": "2023-07-10T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:55:14.247+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1705",
"initial_release_date": "2023-07-10T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-07-10T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-36925",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36925"
},
{
"cve": "CVE-2023-36924",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36924"
},
{
"cve": "CVE-2023-36922",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36922"
},
{
"cve": "CVE-2023-36921",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36921"
},
{
"cve": "CVE-2023-36920",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36920"
},
{
"cve": "CVE-2023-36919",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36919"
},
{
"cve": "CVE-2023-36918",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36918"
},
{
"cve": "CVE-2023-36917",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36917"
},
{
"cve": "CVE-2023-35874",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35874"
},
{
"cve": "CVE-2023-35873",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35873"
},
{
"cve": "CVE-2023-35872",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35872"
},
{
"cve": "CVE-2023-35871",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35871"
},
{
"cve": "CVE-2023-35870",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35870"
},
{
"cve": "CVE-2023-33992",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33992"
},
{
"cve": "CVE-2023-33991",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33991"
},
{
"cve": "CVE-2023-33990",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33990"
},
{
"cve": "CVE-2023-33989",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33989"
},
{
"cve": "CVE-2023-33988",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33988"
},
{
"cve": "CVE-2023-33987",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33987"
},
{
"cve": "CVE-2023-31405",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-31405"
}
]
}
wid-sec-w-2023-1705
Vulnerability from csaf_certbund
Published
2023-07-10 22:00
Modified
2023-07-10 22:00
Summary
SAP Patchday Juli 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuführen, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszulösen oder Informationen offenzulegen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuf\u00fchren, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszul\u00f6sen oder Informationen offenzulegen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1705 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1705.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1705 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1705"
},
{
"category": "external",
"summary": "SAP Patchday July 2023 vom 2023-07-11",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday Juli 2023",
"tracking": {
"current_release_date": "2023-07-10T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:55:14.247+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1705",
"initial_release_date": "2023-07-10T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-07-10T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-36925",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36925"
},
{
"cve": "CVE-2023-36924",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36924"
},
{
"cve": "CVE-2023-36922",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36922"
},
{
"cve": "CVE-2023-36921",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36921"
},
{
"cve": "CVE-2023-36920",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36920"
},
{
"cve": "CVE-2023-36919",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36919"
},
{
"cve": "CVE-2023-36918",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36918"
},
{
"cve": "CVE-2023-36917",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36917"
},
{
"cve": "CVE-2023-35874",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35874"
},
{
"cve": "CVE-2023-35873",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35873"
},
{
"cve": "CVE-2023-35872",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35872"
},
{
"cve": "CVE-2023-35871",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35871"
},
{
"cve": "CVE-2023-35870",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35870"
},
{
"cve": "CVE-2023-33992",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33992"
},
{
"cve": "CVE-2023-33991",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33991"
},
{
"cve": "CVE-2023-33990",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33990"
},
{
"cve": "CVE-2023-33989",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33989"
},
{
"cve": "CVE-2023-33988",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33988"
},
{
"cve": "CVE-2023-33987",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33987"
},
{
"cve": "CVE-2023-31405",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-31405"
}
]
}
WID-SEC-W-2023-1980
Vulnerability from csaf_certbund
Published
2023-08-07 22:00
Modified
2023-08-07 22:00
Summary
SAP Patchday August 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuführen, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuführen, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuführen.
Betroffene Betriebssysteme
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1980 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1980.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1980 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1980"
},
{
"category": "external",
"summary": "SAP Security Patch Day August 2023 vom 2023-08-07",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday August 2023",
"tracking": {
"current_release_date": "2023-08-07T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:56:39.155+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1980",
"initial_release_date": "2023-08-07T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-08-07T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-39440",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39440"
},
{
"cve": "CVE-2023-39439",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39439"
},
{
"cve": "CVE-2023-39437",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39437"
},
{
"cve": "CVE-2023-39436",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39436"
},
{
"cve": "CVE-2023-37492",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37492"
},
{
"cve": "CVE-2023-37491",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37491"
},
{
"cve": "CVE-2023-37490",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37490"
},
{
"cve": "CVE-2023-37488",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37488"
},
{
"cve": "CVE-2023-37487",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37487"
},
{
"cve": "CVE-2023-37486",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37486"
},
{
"cve": "CVE-2023-37484",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37484"
},
{
"cve": "CVE-2023-37483",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37483"
},
{
"cve": "CVE-2023-36926",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36926"
},
{
"cve": "CVE-2023-36923",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36923"
},
{
"cve": "CVE-2023-36922",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36922"
},
{
"cve": "CVE-2023-33993",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-33993"
},
{
"cve": "CVE-2023-33989",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-33989"
}
]
}
wid-sec-w-2023-1980
Vulnerability from csaf_certbund
Published
2023-08-07 22:00
Modified
2023-08-07 22:00
Summary
SAP Patchday August 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuführen, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuführen, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuführen.
Betroffene Betriebssysteme
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1980 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1980.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1980 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1980"
},
{
"category": "external",
"summary": "SAP Security Patch Day August 2023 vom 2023-08-07",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday August 2023",
"tracking": {
"current_release_date": "2023-08-07T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:56:39.155+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1980",
"initial_release_date": "2023-08-07T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-08-07T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-39440",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39440"
},
{
"cve": "CVE-2023-39439",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39439"
},
{
"cve": "CVE-2023-39437",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39437"
},
{
"cve": "CVE-2023-39436",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39436"
},
{
"cve": "CVE-2023-37492",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37492"
},
{
"cve": "CVE-2023-37491",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37491"
},
{
"cve": "CVE-2023-37490",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37490"
},
{
"cve": "CVE-2023-37488",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37488"
},
{
"cve": "CVE-2023-37487",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37487"
},
{
"cve": "CVE-2023-37486",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37486"
},
{
"cve": "CVE-2023-37484",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37484"
},
{
"cve": "CVE-2023-37483",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37483"
},
{
"cve": "CVE-2023-36926",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36926"
},
{
"cve": "CVE-2023-36923",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36923"
},
{
"cve": "CVE-2023-36922",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36922"
},
{
"cve": "CVE-2023-33993",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-33993"
},
{
"cve": "CVE-2023-33989",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-33989"
}
]
}
ghsa-xhp3-g75g-8f9j
Vulnerability from github
Published
2023-07-11 03:30
Modified
2024-04-04 05:54
Severity ?
VLAI Severity ?
Details
An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.
{
"affected": [],
"aliases": [
"CVE-2023-33989"
],
"database_specific": {
"cwe_ids": [
"CWE-22"
],
"github_reviewed": false,
"github_reviewed_at": null,
"nvd_published_at": "2023-07-11T03:15:09Z",
"severity": "HIGH"
},
"details": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n",
"id": "GHSA-xhp3-g75g-8f9j",
"modified": "2024-04-04T05:54:30Z",
"published": "2023-07-11T03:30:31Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2023-33989"
},
{
"type": "WEB",
"url": "https://me.sap.com/notes/3331376"
},
{
"type": "WEB",
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H",
"type": "CVSS_V3"
}
]
}
CERTFR-2023-AVI-0531
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| SAP | N/A | SAP Web Dispatcher versions WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.85, WEBDISP7.89, WEBDISP 7.91, WEBDISP 7.92, WEBDISP 7.93, KERNEL 7.53, KERNEL 7.54,KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.91, KERNEL 7.92, KERNEL 7.93, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00 et SAP_EXTENDED_APP_SERVICES 1 | ||
| SAP | N/A | SAP Solution Manager (Diagnostic Agent) version 7.20 | ||
| SAP | N/A | SAP NetWeaver AS for Java (Log Viewer) versions ENGINEAPI 7.50, SERVERCORE 7.50 et J2EE-APPS 7.50 | ||
| SAP | N/A | SAP NetWeaver (BI CONT ADD ON) versions 707, 737, 747 et 757 | ||
| SAP | N/A | SAP Business Warehouseand SAP BW/4HANA versions SAP_BW 730, SAP_BW 731, SAP_BW 740, SAP_BW 730, SAP_BW 750, DW4CORE 100, DW4CORE 200 et DW4CORE 300 | ||
| SAP | N/A | SAP Business Client versions 6.5, 7.0 et 7.70 | ||
| SAP | N/A | SAP ECC et SAP S/4HANA (IS-OIL), versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807 | ||
| SAP | N/A | SAP SQL Anywhere version 17.0 | ||
| SAP | N/A | SAP NetWeaver Process Integration (Message Display Tool) version SAP_XIAF 7.50 | ||
| SAP | N/A | SAP NetWeaver AS ABAP et ABAP Platform versions KRNL64NUC7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL7.53, KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.92 et KERNEL 7.93 | ||
| SAP | N/A | SAP UI5 Variant Management versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 et UI_700 200 | ||
| SAP | N/A | SAP Enable Now versions WPB_MANAGER 1.0, WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10 et ENABLE_NOW_CONSUMP_DEL 1704 | ||
| SAP | N/A | SAP ERP Defense Forces et Public Security versions 600, 603, 604, 605, 616, 617, 618, 802, 803, 804, 805, 806 et 807 | ||
| SAP | N/A | SAP S/4HANA (Manage Journal Entry Template) versions S4CORE 104, 105, 106 et 107 | ||
| SAP | N/A | SAP BusinessObjects BI Platform (Enterprise) versions 420 et 430 | ||
| SAP | N/A | SAP NetWeaver Process Integration (Runtime Workbench) version SAP_XITOOL 7.50 | ||
| SAP | N/A | SAP Web Dispatcher versions WEBDISP 7.49, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.81, WEBDISP 7.85, WEBDISP 7.88, WEBDISP 7.89, WEBDISP 7.90, KERNEL 7.49, KERNEL 7.53, KERNEL 7.54 KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.88, KERNEL 7.89, KERNEL 7.90, KRNL64NUC 7.49, KRNL64UC 7.49, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00 et SAP_EXTENDED_APP_SERVICES 1 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "SAP Web Dispatcher versions WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.85, WEBDISP7.89, WEBDISP 7.91, WEBDISP 7.92, WEBDISP 7.93, KERNEL 7.53, KERNEL 7.54,KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.91, KERNEL 7.92, KERNEL 7.93, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00 et SAP_EXTENDED_APP_SERVICES 1",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Solution Manager (Diagnostic Agent) version 7.20",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver AS for Java (Log Viewer) versions ENGINEAPI 7.50, SERVERCORE 7.50 et J2EE-APPS 7.50",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver (BI CONT ADD ON) versions 707, 737, 747 et 757",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Business Warehouseand SAP BW/4HANA versions SAP_BW 730, SAP_BW 731, SAP_BW 740, SAP_BW 730, SAP_BW 750, DW4CORE 100, DW4CORE 200 et DW4CORE 300",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Business Client versions 6.5, 7.0 et 7.70",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP ECC et SAP S/4HANA (IS-OIL), versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP SQL Anywhere version 17.0",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver Process Integration (Message Display Tool) version SAP_XIAF 7.50",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver AS ABAP et ABAP Platform versions KRNL64NUC7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL7.53, KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54, KERNEL 7.92 et KERNEL 7.93",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP UI5 Variant Management versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 et UI_700 200",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Enable Now versions WPB_MANAGER 1.0, WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10 et ENABLE_NOW_CONSUMP_DEL 1704",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP ERP Defense Forces et Public Security versions 600, 603, 604, 605, 616, 617, 618, 802, 803, 804, 805, 806 et 807",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP S/4HANA (Manage Journal Entry Template) versions S4CORE 104, 105, 106 et 107",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP BusinessObjects BI Platform (Enterprise) versions 420 et 430",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver Process Integration (Runtime Workbench) version SAP_XITOOL 7.50",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Web Dispatcher versions WEBDISP 7.49, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.81, WEBDISP 7.85, WEBDISP 7.88, WEBDISP 7.89, WEBDISP 7.90, KERNEL 7.49, KERNEL 7.53, KERNEL 7.54 KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.88, KERNEL 7.89, KERNEL 7.90, KRNL64NUC 7.49, KRNL64UC 7.49, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00 et SAP_EXTENDED_APP_SERVICES 1",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-36921",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36921"
},
{
"name": "CVE-2023-35874",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-35874"
},
{
"name": "CVE-2023-36922",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36922"
},
{
"name": "CVE-2023-31405",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-31405"
},
{
"name": "CVE-2023-33991",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-33991"
},
{
"name": "CVE-2023-35873",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-35873"
},
{
"name": "CVE-2023-35870",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-35870"
},
{
"name": "CVE-2023-33992",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-33992"
},
{
"name": "CVE-2023-33987",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-33987"
},
{
"name": "CVE-2023-33989",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-33989"
},
{
"name": "CVE-2023-33988",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-33988"
},
{
"name": "CVE-2023-33990",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-33990"
},
{
"name": "CVE-2023-36924",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36924"
},
{
"name": "CVE-2023-36920",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36920"
},
{
"name": "CVE-2023-35871",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-35871"
},
{
"name": "CVE-2023-36918",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36918"
},
{
"name": "CVE-2023-36925",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36925"
},
{
"name": "CVE-2023-35872",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-35872"
},
{
"name": "CVE-2023-36919",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36919"
},
{
"name": "CVE-2023-36917",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36917"
}
],
"initial_release_date": "2023-07-12T00:00:00",
"last_revision_date": "2023-07-12T00:00:00",
"links": [],
"reference": "CERTFR-2023-AVI-0531",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-07-12T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits SAP.\nCertaines d\u0027entre elles permettent \u00e0 un attaquant de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance, un d\u00e9ni de service \u00e0 distance\net un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits SAP",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 SAP du 11 juillet 2023",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=1"
}
]
}
CERTFR-2023-AVI-0635
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, une exécution de code arbitraire à distance et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| SAP | N/A | Business One version 10.0 | ||
| SAP | N/A | BusinessObjects Business Intelligence Platform version 420 | ||
| SAP | N/A | BusinessObjects Business Intelligence Platform versions 430 | ||
| SAP | N/A | BusinessObjects Business Intelligence (installer) versions 420 et 430 | ||
| SAP | N/A | Commerce (OCC API) versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211 | ||
| SAP | N/A | PowerDesigner version 16.7 | ||
| SAP | N/A | NetWeaver Process Integration versions SAP_XIESR 7.50, SAP_XITOOL 7.50 et SAP_XIAF 7.50 | ||
| SAP | N/A | Commerce versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211 | ||
| SAP | N/A | ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807 | ||
| SAP | N/A | NetWeaver AS ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 793 et SAP_BASIS 804 | ||
| SAP | N/A | NetWeaver (BI CONT ADD ON) versions 707, 737, 747 et 757 | ||
| SAP | N/A | Business One (B1i Layer) version 10.0 | ||
| SAP | N/A | Supplier Relationship Management versions 600, 602, 603, 604, 605, 606, 616 et 617 | ||
| SAP | N/A | Business One (Service Layer) version 10.0 | ||
| SAP | N/A | Message Server versions KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, RNL64UC 7.22, RNL64UC 7.22EXT, RNL64UC 7.53, KRNL64NUC 7.22 et KRNL64NUC 7.22EX |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Business One version 10.0",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "BusinessObjects Business Intelligence Platform version 420",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "BusinessObjects Business Intelligence Platform versions 430",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "BusinessObjects Business Intelligence (installer) versions 420 et 430",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "Commerce (OCC API) versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "PowerDesigner version 16.7",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "NetWeaver Process Integration versions SAP_XIESR 7.50, SAP_XITOOL 7.50 et SAP_XIAF 7.50",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "Commerce versions HY_COM 2105, HY_COM 2205 et COM_CLOUD 2211",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "ECC et SAP S/4HANA (IS-OIL) versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 et 807",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "NetWeaver AS ABAP et ABAP Platform versions SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 793 et SAP_BASIS 804",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "NetWeaver (BI CONT ADD ON) versions 707, 737, 747 et 757",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "Business One (B1i Layer) version 10.0",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "Supplier Relationship Management versions 600, 602, 603, 604, 605, 606, 616 et 617",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "Business One (Service Layer) version 10.0",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "Message Server versions KERNEL 7.22, KERNEL 7.53, KERNEL 7.54, KERNEL 7.77, RNL64UC 7.22, RNL64UC 7.22EXT, RNL64UC 7.53, KRNL64NUC 7.22 et KRNL64NUC 7.22EX",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-39439",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-39439"
},
{
"name": "CVE-2023-33993",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-33993"
},
{
"name": "CVE-2023-39437",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-39437"
},
{
"name": "CVE-2023-36926",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36926"
},
{
"name": "CVE-2023-36922",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36922"
},
{
"name": "CVE-2023-36923",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-36923"
},
{
"name": "CVE-2023-33989",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-33989"
},
{
"name": "CVE-2023-37492",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-37492"
},
{
"name": "CVE-2023-37483",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-37483"
},
{
"name": "CVE-2023-39440",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-39440"
},
{
"name": "CVE-2023-39436",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-39436"
},
{
"name": "CVE-2023-37491",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-37491"
},
{
"name": "CVE-2023-37484",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-37484"
},
{
"name": "CVE-2023-37490",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-37490"
},
{
"name": "CVE-2023-37487",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-37487"
},
{
"name": "CVE-2023-37486",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-37486"
},
{
"name": "CVE-2023-37488",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-37488"
}
],
"initial_release_date": "2023-08-09T00:00:00",
"last_revision_date": "2023-08-09T00:00:00",
"links": [],
"reference": "CERTFR-2023-AVI-0635",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-08-09T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits SAP.\nCertaines d\u0027entre elles permettent \u00e0 un attaquant de provoquer un\nprobl\u00e8me de s\u00e9curit\u00e9 non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur, une ex\u00e9cution de code\narbitraire \u00e0 distance et un d\u00e9ni de service \u00e0 distance.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits SAP",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 SAP du 08 ao\u00fbt 2023",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=1"
}
]
}
fkie_cve-2023-33989
Vulnerability from fkie_nvd
Published
2023-07-11 03:15
Modified
2024-11-21 08:06
Severity ?
8.7 (High) - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H
8.1 (High) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
8.1 (High) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Summary
An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.
References
| URL | Tags | ||
|---|---|---|---|
| cna@sap.com | https://me.sap.com/notes/3331376 | Permissions Required | |
| cna@sap.com | https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html | Vendor Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | https://me.sap.com/notes/3331376 | Permissions Required | |
| af854a3a-2127-422b-91ae-364da2661108 | https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html | Vendor Advisory |
Impacted products
| Vendor | Product | Version | |
|---|---|---|---|
| sap | netweaver_bi_content | 707 | |
| sap | netweaver_bi_content | 737 | |
| sap | netweaver_bi_content | 747 | |
| sap | netweaver_bi_content | 757 |
{
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:sap:netweaver_bi_content:707:*:*:*:*:*:*:*",
"matchCriteriaId": "BD582724-499B-448A-BCC1-308E4BF4F0E8",
"vulnerable": true
},
{
"criteria": "cpe:2.3:a:sap:netweaver_bi_content:737:*:*:*:*:*:*:*",
"matchCriteriaId": "32710905-F628-494B-BD88-30BA5DC9B995",
"vulnerable": true
},
{
"criteria": "cpe:2.3:a:sap:netweaver_bi_content:747:*:*:*:*:*:*:*",
"matchCriteriaId": "B67959BB-333F-4EC1-88BC-F4CB4B7185EF",
"vulnerable": true
},
{
"criteria": "cpe:2.3:a:sap:netweaver_bi_content:757:*:*:*:*:*:*:*",
"matchCriteriaId": "1E3ACFF9-B538-4693-939A-90426AA1DFC8",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n"
}
],
"id": "CVE-2023-33989",
"lastModified": "2024-11-21T08:06:21.703",
"metrics": {
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.7,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "HIGH",
"scope": "CHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 2.3,
"impactScore": 5.8,
"source": "cna@sap.com",
"type": "Secondary"
},
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.1,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 5.2,
"source": "nvd@nist.gov",
"type": "Primary"
}
]
},
"published": "2023-07-11T03:15:09.587",
"references": [
{
"source": "cna@sap.com",
"tags": [
"Permissions Required"
],
"url": "https://me.sap.com/notes/3331376"
},
{
"source": "cna@sap.com",
"tags": [
"Vendor Advisory"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Permissions Required"
],
"url": "https://me.sap.com/notes/3331376"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Vendor Advisory"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"sourceIdentifier": "cna@sap.com",
"vulnStatus": "Modified",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "CWE-22"
}
],
"source": "cna@sap.com",
"type": "Primary"
}
]
}
cnvd-2023-65181
Vulnerability from cnvd
Title
SAP NetWeaver路径遍历漏洞(CNVD-2023-65181)
Description
SAP NetWeaver是德国思爱普(SAP)公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。
SAP NetWeaver存在路径遍历漏洞,该漏洞源于程序未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞导致系统受损。
Severity
高
VLAI Severity ?
Patch Name
SAP NetWeaver路径遍历漏洞(CNVD-2023-65181)的补丁
Patch Description
SAP NetWeaver是德国思爱普(SAP)公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。
SAP NetWeaver存在路径遍历漏洞,该漏洞源于程序未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞导致系统受损。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。
Formal description
厂商已发布了漏洞修复程序,请及时关注更新: https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Reference
https://me.sap.com/notes/3331376
Impacted products
| Name | ['SAP SAP Netweaver 707', 'SAP SAP Netweaver 737', 'SAP SAP Netweaver 747', 'SAP SAP Netweaver 757'] |
|---|
{
"cves": {
"cve": {
"cveNumber": "CVE-2023-33989",
"cveUrl": "https://nvd.nist.gov/vuln/detail/CVE-2023-33989"
}
},
"description": "SAP NetWeaver\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u5957\u9762\u5411\u670d\u52a1\u7684\u96c6\u6210\u5316\u5e94\u7528\u5e73\u53f0\u3002\u8be5\u5e73\u53f0\u4e3b\u8981\u4e3aSAP\u5e94\u7528\u7a0b\u5e8f\u63d0\u4f9b\u5f00\u53d1\u548c\u8fd0\u884c\u73af\u5883\u3002\n\nSAP NetWeaver\u5b58\u5728\u8def\u5f84\u904d\u5386\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u7a0b\u5e8f\u672a\u80fd\u6b63\u786e\u5730\u8fc7\u6ee4\u8d44\u6e90\u6216\u6587\u4ef6\u8def\u5f84\u4e2d\u7684\u7279\u6b8a\u5143\u7d20\u3002\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u5bfc\u81f4\u7cfb\u7edf\u53d7\u635f\u3002",
"formalWay": "\u5382\u5546\u5df2\u53d1\u5e03\u4e86\u6f0f\u6d1e\u4fee\u590d\u7a0b\u5e8f\uff0c\u8bf7\u53ca\u65f6\u5173\u6ce8\u66f4\u65b0\uff1a\r\nhttps://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
"isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
"number": "CNVD-2023-65181",
"openTime": "2023-08-29",
"patchDescription": "SAP NetWeaver\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u5957\u9762\u5411\u670d\u52a1\u7684\u96c6\u6210\u5316\u5e94\u7528\u5e73\u53f0\u3002\u8be5\u5e73\u53f0\u4e3b\u8981\u4e3aSAP\u5e94\u7528\u7a0b\u5e8f\u63d0\u4f9b\u5f00\u53d1\u548c\u8fd0\u884c\u73af\u5883\u3002\r\n\r\nSAP NetWeaver\u5b58\u5728\u8def\u5f84\u904d\u5386\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u7a0b\u5e8f\u672a\u80fd\u6b63\u786e\u5730\u8fc7\u6ee4\u8d44\u6e90\u6216\u6587\u4ef6\u8def\u5f84\u4e2d\u7684\u7279\u6b8a\u5143\u7d20\u3002\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u5bfc\u81f4\u7cfb\u7edf\u53d7\u635f\u3002\u76ee\u524d\uff0c\u4f9b\u5e94\u5546\u53d1\u5e03\u4e86\u5b89\u5168\u516c\u544a\u53ca\u76f8\u5173\u8865\u4e01\u4fe1\u606f\uff0c\u4fee\u590d\u4e86\u6b64\u6f0f\u6d1e\u3002",
"patchName": "SAP NetWeaver\u8def\u5f84\u904d\u5386\u6f0f\u6d1e\uff08CNVD-2023-65181\uff09\u7684\u8865\u4e01",
"products": {
"product": [
"SAP SAP Netweaver 707",
"SAP SAP Netweaver 737",
"SAP SAP Netweaver 747",
"SAP SAP Netweaver 757"
]
},
"referenceLink": "https://me.sap.com/notes/3331376",
"serverity": "\u9ad8",
"submitTime": "2023-07-14",
"title": "SAP NetWeaver\u8def\u5f84\u904d\u5386\u6f0f\u6d1e\uff08CNVD-2023-65181\uff09"
}
gsd-2023-33989
Vulnerability from gsd
Modified
2023-12-13 01:20
Details
An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.
Aliases
Aliases
{
"GSD": {
"alias": "CVE-2023-33989",
"id": "GSD-2023-33989"
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2023-33989"
],
"details": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n",
"id": "GSD-2023-33989",
"modified": "2023-12-13T01:20:36.330636Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "cna@sap.com",
"ID": "CVE-2023-33989",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "SAP NetWeaver (BI CONT ADD ON)",
"version": {
"version_data": [
{
"version_affected": "=",
"version_value": "707"
},
{
"version_affected": "=",
"version_value": "737"
},
{
"version_affected": "=",
"version_value": "747"
},
{
"version_affected": "=",
"version_value": "757"
}
]
}
}
]
},
"vendor_name": "SAP_SE"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n"
}
]
},
"generator": {
"engine": "Vulnogram 0.1.0-dev"
},
"impact": {
"cvss": [
{
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.7,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "HIGH",
"scope": "CHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H",
"version": "3.1"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"cweId": "CWE-22",
"lang": "eng",
"value": "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://me.sap.com/notes/3331376",
"refsource": "MISC",
"url": "https://me.sap.com/notes/3331376"
},
{
"name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
"refsource": "MISC",
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
]
},
"source": {
"discovery": "UNKNOWN"
}
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:sap:netweaver_bi_content:737:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
},
{
"cpe23Uri": "cpe:2.3:a:sap:netweaver_bi_content:747:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
},
{
"cpe23Uri": "cpe:2.3:a:sap:netweaver_bi_content:757:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
},
{
"cpe23Uri": "cpe:2.3:a:sap:netweaver_bi_content:707:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "cna@sap.com",
"ID": "CVE-2023-33989"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-22"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://me.sap.com/notes/3331376",
"refsource": "MISC",
"tags": [
"Permissions Required"
],
"url": "https://me.sap.com/notes/3331376"
},
{
"name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
"refsource": "MISC",
"tags": [
"Vendor Advisory"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
]
}
},
"impact": {
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.1,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 5.2
}
},
"lastModifiedDate": "2023-07-19T12:53Z",
"publishedDate": "2023-07-11T03:15Z"
}
}
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…