{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Business Connector version 4.8 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "S/4 HANA (Manage Catalog Items and Cross-Catalog search) versions S4CORE 103, S4CORE 104, S4CORE 105 et S4CORE 106 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "NetWeaver version 7.50 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "NetWeaver AS ABAP and ABAP Platform versions KRNL64NUC 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54 et KERNEL 7.93 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "S/4 HANA (Cash Management) versions S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107 et S4CORE 108 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "Employee Self Service (Fiori My Leave Request) version 605 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "NetWeaver AS Java User Management Engine versions SERVERCORE 7.50, J2EE-APPS 7.50 et UMEADMIN 7.50 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "Group Reporting Data Collection (Enter Package Data) versions S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108 et SAP_GRDC_CLOUD 1.0.0 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "BusinessObjects Web Intelligence versions 4.2 et 4.3 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "Edge Integration Cell versions ant\u00e9rieures \u00e0 8.13.5",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "Asset Accounting versions SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618 et SAP_FIN700 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2024-30216",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30216"
    },
    {
      "name": "CVE-2024-30214",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30214"
    },
    {
      "name": "CVE-2024-28167",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-28167"
    },
    {
      "name": "CVE-2024-30218",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30218"
    },
    {
      "name": "CVE-2024-30217",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30217"
    },
    {
      "name": "CVE-2024-27898",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-27898"
    },
    {
      "name": "CVE-2024-27899",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-27899"
    },
    {
      "name": "CVE-2024-30215",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30215"
    },
    {
      "name": "CVE-2022-29613",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-29613"
    },
    {
      "name": "CVE-2024-25646",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-25646"
    },
    {
      "name": "CVE-2024-27901",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-27901"
    }
  ],
  "initial_release_date": "2024-04-09T00:00:00",
  "last_revision_date": "2024-04-12T00:00:00",
  "links": [],
  "reference": "CERTFR-2024-AVI-0283",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-04-09T00:00:00.000000"
    },
    {
      "description": "Ajout de la vuln\u00e9rabilit\u00e9 CVE-2022-29613",
      "revision_date": "2024-04-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Injection de code indirecte \u00e0 distance (XSS)"
    },
    {
      "description": "Non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan\nclass=\"textit\"\u003eles produits SAP\u003c/span\u003e. Certaines d\u0027entre elles\npermettent \u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0 distance,\nune atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et une injection de code\nindirecte \u00e0 distance (XSS).\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits SAP",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 SAP du 09 avril 2024",
      "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html"
    }
  ]
}

{
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:sap:netweaver:7.5:*:*:*:*:*:*:*",
              "matchCriteriaId": "74F7C92A-48F7-456A-BDFF-91A482DE8546",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "SAP NetWeaver application, due to insufficient input validation, allows an attacker to send a crafted request from a vulnerable web application targeting internal systems behind firewalls that are normally inaccessible to an attacker from the external network, resulting in a\u00a0Server-Side Request Forgery vulnerability. Thus, having a low impact on confidentiality.\n\n"
    },
    {
      "lang": "es",
      "value": "La aplicaci\u00f3n SAP NetWeaver, debido a una validaci\u00f3n de entrada insuficiente, permite a un atacante enviar una solicitud manipulada desde una aplicaci\u00f3n web vulnerable dirigida a sistemas internos detr\u00e1s de firewalls que normalmente son inaccesibles para un atacante desde la red externa, lo que resulta en una vulnerabilidad Server-Side Request Forgery. Teniendo as\u00ed un bajo impacto en la confidencialidad."
    }
  ],
  "id": "CVE-2024-27898",
  "lastModified": "2025-02-06T19:01:07.703",
  "metrics": {
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 5.3,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "LOW",
          "integrityImpact": "NONE",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 1.4,
        "source": "cna@sap.com",
        "type": "Secondary"
      },
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 5.3,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "LOW",
          "integrityImpact": "NONE",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 1.4,
        "source": "nvd@nist.gov",
        "type": "Primary"
      }
    ]
  },
  "published": "2024-04-09T01:15:48.583",
  "references": [
    {
      "source": "cna@sap.com",
      "tags": [
        "Permissions Required"
      ],
      "url": "https://me.sap.com/notes/3425188"
    },
    {
      "source": "cna@sap.com",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Permissions Required"
      ],
      "url": "https://me.sap.com/notes/3425188"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
    }
  ],
  "sourceIdentifier": "cna@sap.com",
  "vulnStatus": "Analyzed",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-918"
        }
      ],
      "source": "cna@sap.com",
      "type": "Primary"
    }
  ]
}

{
  "affected": [],
  "aliases": [
    "CVE-2024-27898"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-918"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-04-09T01:15:48Z",
    "severity": "MODERATE"
  },
  "details": "SAP NetWeaver application, due to insufficient input validation, allows an attacker to send a crafted request from a vulnerable web application targeting internal systems behind firewalls that are normally inaccessible to an attacker from the external network, resulting in a\u00a0Server-Side Request Forgery vulnerability. Thus, having a low impact on confidentiality.\n\n",
  "id": "GHSA-qqv3-2v93-cwjw",
  "modified": "2024-04-09T03:30:52Z",
  "published": "2024-04-09T03:30:52Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-27898"
    },
    {
      "type": "WEB",
      "url": "https://me.sap.com/notes/3425188"
    },
    {
      "type": "WEB",
      "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
      "type": "CVSS_V3"
    }
  ]
}

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein anonymer oder authentifizierter Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- Sonstiges\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0811 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0811.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0811 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0811"
      },
      {
        "category": "external",
        "summary": "SAP Security Patch Day \u2013 April 2024 vom 2024-04-08",
        "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patch Day April 2024: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-04-08T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:07:23.878+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0811",
      "initial_release_date": "2024-04-08T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-04-08T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T033957",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2022-29613",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2022-29613"
    },
    {
      "cve": "CVE-2023-40306",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2023-40306"
    },
    {
      "cve": "CVE-2024-25646",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-25646"
    },
    {
      "cve": "CVE-2024-27898",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27898"
    },
    {
      "cve": "CVE-2024-27899",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27899"
    },
    {
      "cve": "CVE-2024-27901",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27901"
    },
    {
      "cve": "CVE-2024-28167",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-28167"
    },
    {
      "cve": "CVE-2024-30214",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30214"
    },
    {
      "cve": "CVE-2024-30215",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30215"
    },
    {
      "cve": "CVE-2024-30216",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30216"
    },
    {
      "cve": "CVE-2024-30217",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30217"
    },
    {
      "cve": "CVE-2024-30218",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30218"
    }
  ]
}

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein anonymer oder authentifizierter Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- Sonstiges\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0811 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0811.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0811 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0811"
      },
      {
        "category": "external",
        "summary": "SAP Security Patch Day \u2013 April 2024 vom 2024-04-08",
        "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patch Day April 2024: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-04-08T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:07:23.878+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0811",
      "initial_release_date": "2024-04-08T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-04-08T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T033957",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2022-29613",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2022-29613"
    },
    {
      "cve": "CVE-2023-40306",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2023-40306"
    },
    {
      "cve": "CVE-2024-25646",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-25646"
    },
    {
      "cve": "CVE-2024-27898",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27898"
    },
    {
      "cve": "CVE-2024-27899",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27899"
    },
    {
      "cve": "CVE-2024-27901",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27901"
    },
    {
      "cve": "CVE-2024-28167",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-28167"
    },
    {
      "cve": "CVE-2024-30214",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30214"
    },
    {
      "cve": "CVE-2024-30215",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30215"
    },
    {
      "cve": "CVE-2024-30216",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30216"
    },
    {
      "cve": "CVE-2024-30217",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30217"
    },
    {
      "cve": "CVE-2024-30218",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30218"
    }
  ]
}

{
  "cves": {
    "cve": {
      "cveNumber": "CVE-2024-27898",
      "cveUrl": "https://nvd.nist.gov/vuln/detail/CVE-2024-27898"
    }
  },
  "description": "SAP NetWeaver\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u5957\u9762\u5411\u670d\u52a1\u7684\u96c6\u6210\u5316\u5e94\u7528\u5e73\u53f0\u3002\u8be5\u5e73\u53f0\u4e3b\u8981\u4e3aSAP\u5e94\u7528\u7a0b\u5e8f\u63d0\u4f9b\u5f00\u53d1\u548c\u8fd0\u884c\u73af\u5883\u3002\n\nSAP NetWeaver\u5b58\u5728\u4ee3\u7801\u95ee\u9898\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u8f93\u5165\u9a8c\u8bc1\u4e0d\u8db3\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u4ece\u6613\u53d7\u653b\u51fb\u7684Web\u5e94\u7528\u7a0b\u5e8f\u53d1\u9001\u7cbe\u5fc3\u8bbe\u8ba1\u7684\u8bf7\u6c42\uff0c\u4ece\u800c\u5bfc\u81f4\u670d\u52a1\u5668\u7aef\u8bf7\u6c42\u4f2a\u9020\u6f0f\u6d1e\u3002",
  "formalWay": "\u76ee\u524d\u5382\u5546\u5df2\u53d1\u5e03\u5347\u7ea7\u8865\u4e01\u4ee5\u4fee\u590d\u6f0f\u6d1e\uff0c\u8be6\u60c5\u8bf7\u5173\u6ce8\u5382\u5546\u4e3b\u9875\uff1a\r\nhttps://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html",
  "isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
  "number": "CNVD-2024-20440",
  "openTime": "2024-04-28",
  "patchDescription": "SAP NetWeaver\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u5957\u9762\u5411\u670d\u52a1\u7684\u96c6\u6210\u5316\u5e94\u7528\u5e73\u53f0\u3002\u8be5\u5e73\u53f0\u4e3b\u8981\u4e3aSAP\u5e94\u7528\u7a0b\u5e8f\u63d0\u4f9b\u5f00\u53d1\u548c\u8fd0\u884c\u73af\u5883\u3002\r\n\r\nSAP NetWeaver\u5b58\u5728\u4ee3\u7801\u95ee\u9898\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u8f93\u5165\u9a8c\u8bc1\u4e0d\u8db3\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u4ece\u6613\u53d7\u653b\u51fb\u7684Web\u5e94\u7528\u7a0b\u5e8f\u53d1\u9001\u7cbe\u5fc3\u8bbe\u8ba1\u7684\u8bf7\u6c42\uff0c\u4ece\u800c\u5bfc\u81f4\u670d\u52a1\u5668\u7aef\u8bf7\u6c42\u4f2a\u9020\u6f0f\u6d1e\u3002\u76ee\u524d\uff0c\u4f9b\u5e94\u5546\u53d1\u5e03\u4e86\u5b89\u5168\u516c\u544a\u53ca\u76f8\u5173\u8865\u4e01\u4fe1\u606f\uff0c\u4fee\u590d\u4e86\u6b64\u6f0f\u6d1e\u3002",
  "patchName": "SAP NetWeaver\u4ee3\u7801\u95ee\u9898\u6f0f\u6d1e\uff08CNVD-2024-20440\uff09\u7684\u8865\u4e01",
  "products": {
    "product": "SPA NetWeaver 7.5"
  },
  "referenceLink": "https://nvd.nist.gov/vuln/detail/CVE-2024-27898",
  "serverity": "\u4e2d",
  "submitTime": "2024-04-12",
  "title": "SAP NetWeaver\u4ee3\u7801\u95ee\u9898\u6f0f\u6d1e\uff08CNVD-2024-20440\uff09"
}

{
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2024-27898"
      ],
      "details": "SAP NetWeaver application, due to insufficient input validation, allows an attacker to send a crafted request from a vulnerable web application targeting internal systems behind firewalls that are normally inaccessible to an attacker from the external network, resulting in a\u00a0Server-Side Request Forgery vulnerability. Thus, having a low impact on confidentiality.\n\n",
      "id": "GSD-2024-27898",
      "modified": "2024-02-28T06:02:30.854417Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "cna@sap.com",
        "ID": "CVE-2024-27898",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "SAP NetWeaver",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "7.50"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "SAP_SE"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "SAP NetWeaver application, due to insufficient input validation, allows an attacker to send a crafted request from a vulnerable web application targeting internal systems behind firewalls that are normally inaccessible to an attacker from the external network, resulting in a\u00a0Server-Side Request Forgery vulnerability. Thus, having a low impact on confidentiality.\n\n"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 5.3,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "LOW",
            "integrityImpact": "NONE",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-918",
                "lang": "eng",
                "value": "CWE-918: Server-Side Request Forgery (SSRF)"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://me.sap.com/notes/3425188",
            "refsource": "MISC",
            "url": "https://me.sap.com/notes/3425188"
          },
          {
            "name": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
            "refsource": "MISC",
            "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "descriptions": [
          {
            "lang": "en",
            "value": "SAP NetWeaver application, due to insufficient input validation, allows an attacker to send a crafted request from a vulnerable web application targeting internal systems behind firewalls that are normally inaccessible to an attacker from the external network, resulting in a\u00a0Server-Side Request Forgery vulnerability. Thus, having a low impact on confidentiality.\n\n"
          },
          {
            "lang": "es",
            "value": "La aplicaci\u00f3n SAP NetWeaver, debido a una validaci\u00f3n de entrada insuficiente, permite a un atacante enviar una solicitud manipulada desde una aplicaci\u00f3n web vulnerable dirigida a sistemas internos detr\u00e1s de firewalls que normalmente son inaccesibles para un atacante desde la red externa, lo que resulta en una vulnerabilidad Server-Side Request Forgery. Teniendo as\u00ed un bajo impacto en la confidencialidad."
          }
        ],
        "id": "CVE-2024-27898",
        "lastModified": "2024-04-09T12:48:04.090",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 5.3,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "LOW",
                "integrityImpact": "NONE",
                "privilegesRequired": "NONE",
                "scope": "UNCHANGED",
                "userInteraction": "NONE",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 3.9,
              "impactScore": 1.4,
              "source": "cna@sap.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2024-04-09T01:15:48.583",
        "references": [
          {
            "source": "cna@sap.com",
            "url": "https://me.sap.com/notes/3425188"
          },
          {
            "source": "cna@sap.com",
            "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
          }
        ],
        "sourceIdentifier": "cna@sap.com",
        "vulnStatus": "Awaiting Analysis",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-918"
              }
            ],
            "source": "cna@sap.com",
            "type": "Primary"
          }
        ]
      }
    }
  }
}