Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2021-44151 (GCVE-0-2021-44151)
Vulnerability from cvelistv5
Published
2021-12-13 00:00
Modified
2024-08-04 04:17
Severity ?
VLAI Severity ?
EPSS score ?
CWE
- n/a
Summary
An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit.
References
| ▼ | URL | Tags | |
|---|---|---|---|
| cve@mitre.org | http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html | Third Party Advisory, VDB Entry | |
| cve@mitre.org | https://reprisesoftware.com/admin/rlm-admin-download.php?&euagree=yes | Product, Vendor Advisory | |
| cve@mitre.org | https://www.reprisesoftware.com/RELEASE_NOTES | Broken Link | |
| af854a3a-2127-422b-91ae-364da2661108 | http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html | Third Party Advisory, VDB Entry | |
| af854a3a-2127-422b-91ae-364da2661108 | https://reprisesoftware.com/admin/rlm-admin-download.php?&euagree=yes | Product, Vendor Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | https://www.reprisesoftware.com/RELEASE_NOTES | Broken Link |
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-04T04:17:23.597Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"tags": [
"x_transferred"
],
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"tags": [
"x_transferred"
],
"url": "http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html"
},
{
"tags": [
"x_transferred"
],
"url": "https://www.reprisesoftware.com/RELEASE_NOTES"
}
],
"title": "CVE Program Container"
}
],
"cna": {
"affected": [
{
"product": "n/a",
"vendor": "n/a",
"versions": [
{
"status": "affected",
"version": "n/a"
}
]
}
],
"descriptions": [
{
"lang": "en",
"value": "An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit."
}
],
"problemTypes": [
{
"descriptions": [
{
"description": "n/a",
"lang": "en",
"type": "text"
}
]
}
],
"providerMetadata": {
"dateUpdated": "2023-04-20T00:00:00",
"orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
"shortName": "mitre"
},
"references": [
{
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"url": "http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html"
},
{
"url": "https://www.reprisesoftware.com/RELEASE_NOTES"
}
]
}
},
"cveMetadata": {
"assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
"assignerShortName": "mitre",
"cveId": "CVE-2021-44151",
"datePublished": "2021-12-13T00:00:00",
"dateReserved": "2021-11-22T00:00:00",
"dateUpdated": "2024-08-04T04:17:23.597Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"nvd": "{\"cve\":{\"id\":\"CVE-2021-44151\",\"sourceIdentifier\":\"cve@mitre.org\",\"published\":\"2021-12-13T04:15:07.137\",\"lastModified\":\"2025-04-30T21:01:39.110\",\"vulnStatus\":\"Analyzed\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit.\"},{\"lang\":\"es\",\"value\":\"Se ha detectado un problema en Reprise RLM versi\u00f3n 14.2. Como las cookies de sesi\u00f3n son peque\u00f1as, un atacante puede secuestrar cualquier sesi\u00f3n presente forzando la cookie de sesi\u00f3n de 4 caracteres hexadecimales en la versi\u00f3n de Windows (la versi\u00f3n de Linux parece tener 8 caracteres). Un atacante puede obtener la parte est\u00e1tica de la cookie (nombre de la cookie) al hacer primero una petici\u00f3n a cualquier p\u00e1gina de la aplicaci\u00f3n (por ejemplo, /goforms/men\u00fa) y guardando el nombre de la cookie enviada con la respuesta. El atacante puede entonces usar el nombre de la cookie e intentar solicitar esa misma p\u00e1gina, estableciendo un valor aleatorio para la cookie. Si alg\u00fan usuario presenta una sesi\u00f3n activa, la p\u00e1gina deber\u00eda volver con el contenido autorizado, cuando se encuentre un valor de cookie v\u00e1lido\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N\",\"baseScore\":7.5,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":3.6}],\"cvssMetricV2\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"2.0\",\"vectorString\":\"AV:N/AC:L/Au:N/C:P/I:N/A:N\",\"baseScore\":5.0,\"accessVector\":\"NETWORK\",\"accessComplexity\":\"LOW\",\"authentication\":\"NONE\",\"confidentialityImpact\":\"PARTIAL\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\"},\"baseSeverity\":\"MEDIUM\",\"exploitabilityScore\":10.0,\"impactScore\":2.9,\"acInsufInfo\":false,\"obtainAllPrivilege\":false,\"obtainUserPrivilege\":false,\"obtainOtherPrivilege\":false,\"userInteractionRequired\":false}]},\"weaknesses\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-330\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:reprisesoftware:reprise_license_manager:*:*:*:*:*:*:*:*\",\"versionStartIncluding\":\"14.2\",\"versionEndExcluding\":\"15.1\",\"matchCriteriaId\":\"7BAA96A8-FE33-49EB-9385-CE80D62BE8A7\"}]}]}],\"references\":[{\"url\":\"http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html\",\"source\":\"cve@mitre.org\",\"tags\":[\"Third Party Advisory\",\"VDB Entry\"]},{\"url\":\"https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes\",\"source\":\"cve@mitre.org\",\"tags\":[\"Product\",\"Vendor Advisory\"]},{\"url\":\"https://www.reprisesoftware.com/RELEASE_NOTES\",\"source\":\"cve@mitre.org\",\"tags\":[\"Broken Link\"]},{\"url\":\"http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Third Party Advisory\",\"VDB Entry\"]},{\"url\":\"https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Product\",\"Vendor Advisory\"]},{\"url\":\"https://www.reprisesoftware.com/RELEASE_NOTES\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Broken Link\"]}]}}"
}
}
WID-SEC-W-2023-1168
Vulnerability from csaf_certbund
Published
2023-05-08 22:00
Modified
2023-05-09 22:00
Summary
SAP Patchday Mai 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erhöhen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting-Angriff durchzuführen, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erh\u00f6hen, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1168 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1168.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1168 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1168"
},
{
"category": "external",
"summary": "SAP Patchday Mai 2023 vom 2023-05-08",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
},
{
"category": "external",
"summary": "SAP Launchpad vom 2023-05-08",
"url": "https://launchpad.support.sap.com/#/securitynotes"
}
],
"source_lang": "en-US",
"title": "SAP Patchday Mai 2023",
"tracking": {
"current_release_date": "2023-05-09T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:50:34.299+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1168",
"initial_release_date": "2023-05-08T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-05-08T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2023-05-09T22:00:00.000+00:00",
"number": "2",
"summary": "\u00f6ffentlichen SAP Link erg\u00e4nzt"
}
],
"status": "final",
"version": "2"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-32113",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32113"
},
{
"cve": "CVE-2023-32112",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32112"
},
{
"cve": "CVE-2023-32111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32111"
},
{
"cve": "CVE-2023-31407",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31407"
},
{
"cve": "CVE-2023-31406",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31406"
},
{
"cve": "CVE-2023-31404",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31404"
},
{
"cve": "CVE-2023-30744",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30744"
},
{
"cve": "CVE-2023-30743",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30743"
},
{
"cve": "CVE-2023-30742",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30742"
},
{
"cve": "CVE-2023-30741",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30741"
},
{
"cve": "CVE-2023-30740",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30740"
},
{
"cve": "CVE-2023-29188",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29188"
},
{
"cve": "CVE-2023-29111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29111"
},
{
"cve": "CVE-2023-29080",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29080"
},
{
"cve": "CVE-2023-28764",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-28764"
},
{
"cve": "CVE-2023-28762",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-28762"
},
{
"cve": "CVE-2021-44155",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44155"
},
{
"cve": "CVE-2021-44154",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44154"
},
{
"cve": "CVE-2021-44153",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44153"
},
{
"cve": "CVE-2021-44152",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44152"
},
{
"cve": "CVE-2021-44151",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44151"
}
]
}
wid-sec-w-2023-1168
Vulnerability from csaf_certbund
Published
2023-05-08 22:00
Modified
2023-05-09 22:00
Summary
SAP Patchday Mai 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erhöhen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting-Angriff durchzuführen, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erh\u00f6hen, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1168 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1168.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1168 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1168"
},
{
"category": "external",
"summary": "SAP Patchday Mai 2023 vom 2023-05-08",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
},
{
"category": "external",
"summary": "SAP Launchpad vom 2023-05-08",
"url": "https://launchpad.support.sap.com/#/securitynotes"
}
],
"source_lang": "en-US",
"title": "SAP Patchday Mai 2023",
"tracking": {
"current_release_date": "2023-05-09T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:50:34.299+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1168",
"initial_release_date": "2023-05-08T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-05-08T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2023-05-09T22:00:00.000+00:00",
"number": "2",
"summary": "\u00f6ffentlichen SAP Link erg\u00e4nzt"
}
],
"status": "final",
"version": "2"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-32113",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32113"
},
{
"cve": "CVE-2023-32112",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32112"
},
{
"cve": "CVE-2023-32111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32111"
},
{
"cve": "CVE-2023-31407",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31407"
},
{
"cve": "CVE-2023-31406",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31406"
},
{
"cve": "CVE-2023-31404",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31404"
},
{
"cve": "CVE-2023-30744",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30744"
},
{
"cve": "CVE-2023-30743",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30743"
},
{
"cve": "CVE-2023-30742",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30742"
},
{
"cve": "CVE-2023-30741",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30741"
},
{
"cve": "CVE-2023-30740",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30740"
},
{
"cve": "CVE-2023-29188",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29188"
},
{
"cve": "CVE-2023-29111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29111"
},
{
"cve": "CVE-2023-29080",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29080"
},
{
"cve": "CVE-2023-28764",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-28764"
},
{
"cve": "CVE-2023-28762",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-28762"
},
{
"cve": "CVE-2021-44155",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44155"
},
{
"cve": "CVE-2021-44154",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44154"
},
{
"cve": "CVE-2021-44153",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44153"
},
{
"cve": "CVE-2021-44152",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44152"
},
{
"cve": "CVE-2021-44151",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44151"
}
]
}
cnvd-2022-05757
Vulnerability from cnvd
Title: Reprise Software Reprise License Manager授权问题漏洞
Description:
Reprise Software Reprise License Manager是美国Reprise Software公司的软件许可工具包,为商业软件应用程序的发布者提供本地和基于云的许可证管理,许可证实施和产品激活解决方案。
Reprise Software Reprise License Manager存在授权问题漏洞,攻击者可利用该漏洞劫持任何现有会话。
Severity: 中
Formal description:
厂商尚未提供漏洞修复方案,请关注厂商主页更新: https://reprisesoftware.com/admin/rlm-admin-download.php?&euagree=yes
Reference: https://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html
Impacted products
| Name | Reprise Software Reprise License Manager 14.2 |
|---|
{
"cves": {
"cve": {
"cveNumber": "CVE-2021-44151",
"cveUrl": "https://nvd.nist.gov/vuln/detail/CVE-2021-44151"
}
},
"description": "Reprise Software Reprise License Manager\u662f\u7f8e\u56fdReprise Software\u516c\u53f8\u7684\u8f6f\u4ef6\u8bb8\u53ef\u5de5\u5177\u5305\uff0c\u4e3a\u5546\u4e1a\u8f6f\u4ef6\u5e94\u7528\u7a0b\u5e8f\u7684\u53d1\u5e03\u8005\u63d0\u4f9b\u672c\u5730\u548c\u57fa\u4e8e\u4e91\u7684\u8bb8\u53ef\u8bc1\u7ba1\u7406\uff0c\u8bb8\u53ef\u8bc1\u5b9e\u65bd\u548c\u4ea7\u54c1\u6fc0\u6d3b\u89e3\u51b3\u65b9\u6848\u3002\n\nReprise Software Reprise License Manager\u5b58\u5728\u6388\u6743\u95ee\u9898\u6f0f\u6d1e\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u52ab\u6301\u4efb\u4f55\u73b0\u6709\u4f1a\u8bdd\u3002",
"formalWay": "\u5382\u5546\u5c1a\u672a\u63d0\u4f9b\u6f0f\u6d1e\u4fee\u590d\u65b9\u6848\uff0c\u8bf7\u5173\u6ce8\u5382\u5546\u4e3b\u9875\u66f4\u65b0\uff1a\r\nhttps://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes",
"isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
"number": "CNVD-2022-05757",
"openTime": "2022-01-21",
"products": {
"product": "Reprise Software Reprise License Manager 14.2"
},
"referenceLink": "https://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html",
"serverity": "\u4e2d",
"submitTime": "2021-12-12",
"title": "Reprise Software Reprise License Manager\u6388\u6743\u95ee\u9898\u6f0f\u6d1e"
}
fkie_cve-2021-44151
Vulnerability from fkie_nvd
Published
2021-12-13 04:15
Modified
2025-04-30 21:01
Severity ?
Summary
An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit.
References
| ▼ | URL | Tags | |
|---|---|---|---|
| cve@mitre.org | http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html | Third Party Advisory, VDB Entry | |
| cve@mitre.org | https://reprisesoftware.com/admin/rlm-admin-download.php?&euagree=yes | Product, Vendor Advisory | |
| cve@mitre.org | https://www.reprisesoftware.com/RELEASE_NOTES | Broken Link | |
| af854a3a-2127-422b-91ae-364da2661108 | http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html | Third Party Advisory, VDB Entry | |
| af854a3a-2127-422b-91ae-364da2661108 | https://reprisesoftware.com/admin/rlm-admin-download.php?&euagree=yes | Product, Vendor Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | https://www.reprisesoftware.com/RELEASE_NOTES | Broken Link |
Impacted products
| Vendor | Product | Version | |
|---|---|---|---|
| reprisesoftware | reprise_license_manager | * |
{
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:reprisesoftware:reprise_license_manager:*:*:*:*:*:*:*:*",
"matchCriteriaId": "7BAA96A8-FE33-49EB-9385-CE80D62BE8A7",
"versionEndExcluding": "15.1",
"versionStartIncluding": "14.2",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit."
},
{
"lang": "es",
"value": "Se ha detectado un problema en Reprise RLM versi\u00f3n 14.2. Como las cookies de sesi\u00f3n son peque\u00f1as, un atacante puede secuestrar cualquier sesi\u00f3n presente forzando la cookie de sesi\u00f3n de 4 caracteres hexadecimales en la versi\u00f3n de Windows (la versi\u00f3n de Linux parece tener 8 caracteres). Un atacante puede obtener la parte est\u00e1tica de la cookie (nombre de la cookie) al hacer primero una petici\u00f3n a cualquier p\u00e1gina de la aplicaci\u00f3n (por ejemplo, /goforms/men\u00fa) y guardando el nombre de la cookie enviada con la respuesta. El atacante puede entonces usar el nombre de la cookie e intentar solicitar esa misma p\u00e1gina, estableciendo un valor aleatorio para la cookie. Si alg\u00fan usuario presenta una sesi\u00f3n activa, la p\u00e1gina deber\u00eda volver con el contenido autorizado, cuando se encuentre un valor de cookie v\u00e1lido"
}
],
"id": "CVE-2021-44151",
"lastModified": "2025-04-30T21:01:39.110",
"metrics": {
"cvssMetricV2": [
{
"acInsufInfo": false,
"baseSeverity": "MEDIUM",
"cvssData": {
"accessComplexity": "LOW",
"accessVector": "NETWORK",
"authentication": "NONE",
"availabilityImpact": "NONE",
"baseScore": 5.0,
"confidentialityImpact": "PARTIAL",
"integrityImpact": "NONE",
"vectorString": "AV:N/AC:L/Au:N/C:P/I:N/A:N",
"version": "2.0"
},
"exploitabilityScore": 10.0,
"impactScore": 2.9,
"obtainAllPrivilege": false,
"obtainOtherPrivilege": false,
"obtainUserPrivilege": false,
"source": "nvd@nist.gov",
"type": "Primary",
"userInteractionRequired": false
}
],
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 7.5,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "NONE",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"version": "3.1"
},
"exploitabilityScore": 3.9,
"impactScore": 3.6,
"source": "nvd@nist.gov",
"type": "Primary"
}
]
},
"published": "2021-12-13T04:15:07.137",
"references": [
{
"source": "cve@mitre.org",
"tags": [
"Third Party Advisory",
"VDB Entry"
],
"url": "http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html"
},
{
"source": "cve@mitre.org",
"tags": [
"Product",
"Vendor Advisory"
],
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"source": "cve@mitre.org",
"tags": [
"Broken Link"
],
"url": "https://www.reprisesoftware.com/RELEASE_NOTES"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Third Party Advisory",
"VDB Entry"
],
"url": "http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Product",
"Vendor Advisory"
],
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Broken Link"
],
"url": "https://www.reprisesoftware.com/RELEASE_NOTES"
}
],
"sourceIdentifier": "cve@mitre.org",
"vulnStatus": "Analyzed",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "CWE-330"
}
],
"source": "nvd@nist.gov",
"type": "Primary"
}
]
}
gsd-2021-44151
Vulnerability from gsd
Modified
2023-12-13 01:23
Details
An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit.
Aliases
Aliases
{
"GSD": {
"alias": "CVE-2021-44151",
"description": "An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit.",
"id": "GSD-2021-44151",
"references": [
"https://packetstormsecurity.com/files/cve/CVE-2021-44151"
]
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2021-44151"
],
"details": "An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit.",
"id": "GSD-2021-44151",
"modified": "2023-12-13T01:23:20.844869Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "cve@mitre.org",
"ID": "CVE-2021-44151",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "n/a",
"version": {
"version_data": [
{
"version_value": "n/a"
}
]
}
}
]
},
"vendor_name": "n/a"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "n/a"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes",
"refsource": "MISC",
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"name": "http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html",
"refsource": "MISC",
"url": "http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html"
},
{
"name": "https://www.reprisesoftware.com/RELEASE_NOTES",
"refsource": "CONFIRM",
"url": "https://www.reprisesoftware.com/RELEASE_NOTES"
}
]
}
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:reprisesoftware:reprise_license_manager:14.2:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "cve@mitre.org",
"ID": "CVE-2021-44151"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-384"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html",
"refsource": "MISC",
"tags": [
"Third Party Advisory",
"VDB Entry"
],
"url": "http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html"
},
{
"name": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes",
"refsource": "MISC",
"tags": [
"Product",
"Vendor Advisory"
],
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"name": "https://www.reprisesoftware.com/RELEASE_NOTES",
"refsource": "CONFIRM",
"tags": [],
"url": "https://www.reprisesoftware.com/RELEASE_NOTES"
}
]
}
},
"impact": {
"baseMetricV2": {
"acInsufInfo": false,
"cvssV2": {
"accessComplexity": "LOW",
"accessVector": "NETWORK",
"authentication": "NONE",
"availabilityImpact": "NONE",
"baseScore": 5.0,
"confidentialityImpact": "PARTIAL",
"integrityImpact": "NONE",
"vectorString": "AV:N/AC:L/Au:N/C:P/I:N/A:N",
"version": "2.0"
},
"exploitabilityScore": 10.0,
"impactScore": 2.9,
"obtainAllPrivilege": false,
"obtainOtherPrivilege": false,
"obtainUserPrivilege": false,
"severity": "MEDIUM",
"userInteractionRequired": false
},
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 7.5,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "NONE",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"version": "3.1"
},
"exploitabilityScore": 3.9,
"impactScore": 3.6
}
},
"lastModifiedDate": "2023-04-20T16:15Z",
"publishedDate": "2021-12-13T04:15Z"
}
}
}
ghsa-2x2v-ccf2-cqcf
Vulnerability from github
Published
2021-12-14 00:01
Modified
2023-04-20 18:30
Severity ?
VLAI Severity ?
Details
An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit.
{
"affected": [],
"aliases": [
"CVE-2021-44151"
],
"database_specific": {
"cwe_ids": [
"CWE-330",
"CWE-384"
],
"github_reviewed": false,
"github_reviewed_at": null,
"nvd_published_at": "2021-12-13T04:15:00Z",
"severity": "HIGH"
},
"details": "An issue was discovered in Reprise RLM 14.2. As the session cookies are small, an attacker can hijack any existing sessions by bruteforcing the 4 hex-character session cookie on the Windows version (the Linux version appears to have 8 characters). An attacker can obtain the static part of the cookie (cookie name) by first making a request to any page on the application (e.g., /goforms/menu) and saving the name of the cookie sent with the response. The attacker can then use the name of the cookie and try to request that same page, setting a random value for the cookie. If any user has an active session, the page should return with the authorized content, when a valid cookie value is hit.",
"id": "GHSA-2x2v-ccf2-cqcf",
"modified": "2023-04-20T18:30:49Z",
"published": "2021-12-14T00:01:13Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2021-44151"
},
{
"type": "WEB",
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"type": "WEB",
"url": "https://www.reprisesoftware.com/RELEASE_NOTES"
},
{
"type": "WEB",
"url": "http://packetstormsecurity.com/files/165191/Reprise-License-Manager-14.2-Session-Hijacking.html"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
"type": "CVSS_V3"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…