Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2021-44153 (GCVE-0-2021-44153)
Vulnerability from cvelistv5
Published
2021-12-13 03:33
Modified
2024-08-04 04:17
Severity ?
VLAI Severity ?
EPSS score ?
CWE
- n/a
Summary
An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo "C:\Windows\System32\calc.exe" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)
References
| URL | Tags | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-04T04:17:23.591Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"tags": [
"x_refsource_MISC",
"x_transferred"
],
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"tags": [
"x_refsource_MISC",
"x_transferred"
],
"url": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html"
}
],
"title": "CVE Program Container"
}
],
"cna": {
"affected": [
{
"product": "n/a",
"vendor": "n/a",
"versions": [
{
"status": "affected",
"version": "n/a"
}
]
}
],
"descriptions": [
{
"lang": "en",
"value": "An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo \"C:\\Windows\\System32\\calc.exe\" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)"
}
],
"problemTypes": [
{
"descriptions": [
{
"description": "n/a",
"lang": "en",
"type": "text"
}
]
}
],
"providerMetadata": {
"dateUpdated": "2021-12-13T03:33:19",
"orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
"shortName": "mitre"
},
"references": [
{
"tags": [
"x_refsource_MISC"
],
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"tags": [
"x_refsource_MISC"
],
"url": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html"
}
],
"x_legacyV4Record": {
"CVE_data_meta": {
"ASSIGNER": "cve@mitre.org",
"ID": "CVE-2021-44153",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "n/a",
"version": {
"version_data": [
{
"version_value": "n/a"
}
]
}
}
]
},
"vendor_name": "n/a"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo \"C:\\Windows\\System32\\calc.exe\" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "n/a"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes",
"refsource": "MISC",
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"name": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html",
"refsource": "MISC",
"url": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html"
}
]
}
}
}
},
"cveMetadata": {
"assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
"assignerShortName": "mitre",
"cveId": "CVE-2021-44153",
"datePublished": "2021-12-13T03:33:19",
"dateReserved": "2021-11-22T00:00:00",
"dateUpdated": "2024-08-04T04:17:23.591Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"nvd": "{\"cve\":{\"id\":\"CVE-2021-44153\",\"sourceIdentifier\":\"cve@mitre.org\",\"published\":\"2021-12-13T04:15:07.223\",\"lastModified\":\"2025-04-30T21:03:30.737\",\"vulnStatus\":\"Analyzed\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo \\\"C:\\\\Windows\\\\System32\\\\calc.exe\\\" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)\"},{\"lang\":\"es\",\"value\":\"Se ha detectado un problema en Reprise RLM versi\u00f3n 14.2. Al editar el archivo de licencia, es posible que un usuario administrador habilite una opci\u00f3n para ejecutar ejecutables arbitrarios, como lo demuestra una entrada de demostraci\u00f3n ISV \\\"C:\\\\Windows\\\\System32\\\\calc.exe\\\". Un atacante puede explotar esto para ejecutar un binario malicioso en el inicio, o cuando es activada la funci\u00f3n Reread/Restart Servers en el servidor web. (La explotaci\u00f3n no requiere CVE-2018-15573, porque el archivo de licencia est\u00e1 destinado a ser cambiado en la aplicaci\u00f3n)\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H\",\"baseScore\":7.2,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"HIGH\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":1.2,\"impactScore\":5.9}],\"cvssMetricV2\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"2.0\",\"vectorString\":\"AV:N/AC:L/Au:S/C:C/I:C/A:C\",\"baseScore\":9.0,\"accessVector\":\"NETWORK\",\"accessComplexity\":\"LOW\",\"authentication\":\"SINGLE\",\"confidentialityImpact\":\"COMPLETE\",\"integrityImpact\":\"COMPLETE\",\"availabilityImpact\":\"COMPLETE\"},\"baseSeverity\":\"HIGH\",\"exploitabilityScore\":8.0,\"impactScore\":10.0,\"acInsufInfo\":false,\"obtainAllPrivilege\":false,\"obtainUserPrivilege\":false,\"obtainOtherPrivilege\":false,\"userInteractionRequired\":false}]},\"weaknesses\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"NVD-CWE-noinfo\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:reprisesoftware:reprise_license_manager:*:*:*:*:*:*:*:*\",\"versionStartIncluding\":\"14.2\",\"versionEndExcluding\":\"17.0\",\"matchCriteriaId\":\"B89180B9-62D3-4CB6-88D1-FD7AFD230A70\"}]}]}],\"references\":[{\"url\":\"http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html\",\"source\":\"cve@mitre.org\",\"tags\":[\"Exploit\",\"Third Party Advisory\",\"VDB Entry\"]},{\"url\":\"https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes\",\"source\":\"cve@mitre.org\",\"tags\":[\"Patch\",\"Product\",\"Vendor Advisory\"]},{\"url\":\"http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Exploit\",\"Third Party Advisory\",\"VDB Entry\"]},{\"url\":\"https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Patch\",\"Product\",\"Vendor Advisory\"]}]}}"
}
}
ghsa-96xv-6m77-v224
Vulnerability from github
Published
2021-12-14 00:01
Modified
2025-04-30 21:31
Severity ?
VLAI Severity ?
Details
An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo "C:\Windows\System32\calc.exe" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)
{
"affected": [],
"aliases": [
"CVE-2021-44153"
],
"database_specific": {
"cwe_ids": [],
"github_reviewed": false,
"github_reviewed_at": null,
"nvd_published_at": "2021-12-13T04:15:00Z",
"severity": "HIGH"
},
"details": "An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo \"C:\\Windows\\System32\\calc.exe\" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)",
"id": "GHSA-96xv-6m77-v224",
"modified": "2025-04-30T21:31:41Z",
"published": "2021-12-14T00:01:12Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2021-44153"
},
{
"type": "WEB",
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"type": "WEB",
"url": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H",
"type": "CVSS_V3"
}
]
}
cnvd-2022-05756
Vulnerability from cnvd
Title
Reprise License Manager远程代码执行漏洞
Description
Reprise Software Reprise License Manager是美国Reprise Software公司的软件许可工具包,为商业软件应用程序的发布者提供本地和基于云的许可证管理,许可证实施和产品激活解决方案。
Reprise Software Reprise License Manager存在远程代码执行漏洞,攻击者可利用该漏洞在启动时运行恶意二进制文件。
Severity
高
VLAI Severity ?
Formal description
厂商尚未提供漏洞修复方案,请关注厂商主页更新: https://reprisesoftware.com/admin/rlm-admin-download.php?&euagree=yes
Reference
https://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html
Impacted products
| Name | Reprise Software Reprise License Manager 14.2 |
|---|
{
"cves": {
"cve": {
"cveNumber": "CVE-2021-44153",
"cveUrl": "https://nvd.nist.gov/vuln/detail/CVE-2021-44153"
}
},
"description": "Reprise Software Reprise License Manager\u662f\u7f8e\u56fdReprise Software\u516c\u53f8\u7684\u8f6f\u4ef6\u8bb8\u53ef\u5de5\u5177\u5305\uff0c\u4e3a\u5546\u4e1a\u8f6f\u4ef6\u5e94\u7528\u7a0b\u5e8f\u7684\u53d1\u5e03\u8005\u63d0\u4f9b\u672c\u5730\u548c\u57fa\u4e8e\u4e91\u7684\u8bb8\u53ef\u8bc1\u7ba1\u7406\uff0c\u8bb8\u53ef\u8bc1\u5b9e\u65bd\u548c\u4ea7\u54c1\u6fc0\u6d3b\u89e3\u51b3\u65b9\u6848\u3002\n\nReprise Software Reprise License Manager\u5b58\u5728\u8fdc\u7a0b\u4ee3\u7801\u6267\u884c\u6f0f\u6d1e\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u5728\u542f\u52a8\u65f6\u8fd0\u884c\u6076\u610f\u4e8c\u8fdb\u5236\u6587\u4ef6\u3002",
"formalWay": "\u5382\u5546\u5c1a\u672a\u63d0\u4f9b\u6f0f\u6d1e\u4fee\u590d\u65b9\u6848\uff0c\u8bf7\u5173\u6ce8\u5382\u5546\u4e3b\u9875\u66f4\u65b0\uff1a\r\nhttps://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes",
"isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
"number": "CNVD-2022-05756",
"openTime": "2022-01-21",
"products": {
"product": "Reprise Software Reprise License Manager 14.2"
},
"referenceLink": "https://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html",
"serverity": "\u9ad8",
"submitTime": "2021-12-12",
"title": "Reprise License Manager\u8fdc\u7a0b\u4ee3\u7801\u6267\u884c\u6f0f\u6d1e"
}
wid-sec-w-2023-1168
Vulnerability from csaf_certbund
Published
2023-05-08 22:00
Modified
2023-05-09 22:00
Summary
SAP Patchday Mai 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erhöhen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting-Angriff durchzuführen, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erh\u00f6hen, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1168 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1168.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1168 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1168"
},
{
"category": "external",
"summary": "SAP Patchday Mai 2023 vom 2023-05-08",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
},
{
"category": "external",
"summary": "SAP Launchpad vom 2023-05-08",
"url": "https://launchpad.support.sap.com/#/securitynotes"
}
],
"source_lang": "en-US",
"title": "SAP Patchday Mai 2023",
"tracking": {
"current_release_date": "2023-05-09T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:50:34.299+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1168",
"initial_release_date": "2023-05-08T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-05-08T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2023-05-09T22:00:00.000+00:00",
"number": "2",
"summary": "\u00f6ffentlichen SAP Link erg\u00e4nzt"
}
],
"status": "final",
"version": "2"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-32113",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32113"
},
{
"cve": "CVE-2023-32112",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32112"
},
{
"cve": "CVE-2023-32111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32111"
},
{
"cve": "CVE-2023-31407",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31407"
},
{
"cve": "CVE-2023-31406",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31406"
},
{
"cve": "CVE-2023-31404",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31404"
},
{
"cve": "CVE-2023-30744",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30744"
},
{
"cve": "CVE-2023-30743",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30743"
},
{
"cve": "CVE-2023-30742",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30742"
},
{
"cve": "CVE-2023-30741",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30741"
},
{
"cve": "CVE-2023-30740",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30740"
},
{
"cve": "CVE-2023-29188",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29188"
},
{
"cve": "CVE-2023-29111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29111"
},
{
"cve": "CVE-2023-29080",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29080"
},
{
"cve": "CVE-2023-28764",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-28764"
},
{
"cve": "CVE-2023-28762",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-28762"
},
{
"cve": "CVE-2021-44155",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44155"
},
{
"cve": "CVE-2021-44154",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44154"
},
{
"cve": "CVE-2021-44153",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44153"
},
{
"cve": "CVE-2021-44152",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44152"
},
{
"cve": "CVE-2021-44151",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44151"
}
]
}
WID-SEC-W-2023-1168
Vulnerability from csaf_certbund
Published
2023-05-08 22:00
Modified
2023-05-09 22:00
Summary
SAP Patchday Mai 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erhöhen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting-Angriff durchzuführen, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erh\u00f6hen, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1168 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1168.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1168 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1168"
},
{
"category": "external",
"summary": "SAP Patchday Mai 2023 vom 2023-05-08",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
},
{
"category": "external",
"summary": "SAP Launchpad vom 2023-05-08",
"url": "https://launchpad.support.sap.com/#/securitynotes"
}
],
"source_lang": "en-US",
"title": "SAP Patchday Mai 2023",
"tracking": {
"current_release_date": "2023-05-09T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:50:34.299+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1168",
"initial_release_date": "2023-05-08T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-05-08T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2023-05-09T22:00:00.000+00:00",
"number": "2",
"summary": "\u00f6ffentlichen SAP Link erg\u00e4nzt"
}
],
"status": "final",
"version": "2"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-32113",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32113"
},
{
"cve": "CVE-2023-32112",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32112"
},
{
"cve": "CVE-2023-32111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-32111"
},
{
"cve": "CVE-2023-31407",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31407"
},
{
"cve": "CVE-2023-31406",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31406"
},
{
"cve": "CVE-2023-31404",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-31404"
},
{
"cve": "CVE-2023-30744",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30744"
},
{
"cve": "CVE-2023-30743",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30743"
},
{
"cve": "CVE-2023-30742",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30742"
},
{
"cve": "CVE-2023-30741",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30741"
},
{
"cve": "CVE-2023-30740",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-30740"
},
{
"cve": "CVE-2023-29188",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29188"
},
{
"cve": "CVE-2023-29111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29111"
},
{
"cve": "CVE-2023-29080",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-29080"
},
{
"cve": "CVE-2023-28764",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-28764"
},
{
"cve": "CVE-2023-28762",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2023-28762"
},
{
"cve": "CVE-2021-44155",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44155"
},
{
"cve": "CVE-2021-44154",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44154"
},
{
"cve": "CVE-2021-44153",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44153"
},
{
"cve": "CVE-2021-44152",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44152"
},
{
"cve": "CVE-2021-44151",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Business Client, BusinessObjects Business Intelligence Platform, Application Interface Framework, SAPUI5, CRM WebClient UI, 3D Visual Enterprise License Manager, AS NetWeaver JAVA, SAP CRM, SAP IBP (add-in for Microsoft Excel), SAP GUI for Windows, SAP Commerce, SAP PowerDesigner sowie SAP Business Planning and Consolidation. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um seine Rechte zu erweitern, beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-05-08T22:00:00.000+00:00",
"title": "CVE-2021-44151"
}
]
}
fkie_cve-2021-44153
Vulnerability from fkie_nvd
Published
2021-12-13 04:15
Modified
2025-04-30 21:03
Severity ?
Summary
An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo "C:\Windows\System32\calc.exe" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)
References
| URL | Tags | ||
|---|---|---|---|
| cve@mitre.org | http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html | Exploit, Third Party Advisory, VDB Entry | |
| cve@mitre.org | https://reprisesoftware.com/admin/rlm-admin-download.php?&euagree=yes | Patch, Product, Vendor Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html | Exploit, Third Party Advisory, VDB Entry | |
| af854a3a-2127-422b-91ae-364da2661108 | https://reprisesoftware.com/admin/rlm-admin-download.php?&euagree=yes | Patch, Product, Vendor Advisory |
Impacted products
| Vendor | Product | Version | |
|---|---|---|---|
| reprisesoftware | reprise_license_manager | * |
{
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:reprisesoftware:reprise_license_manager:*:*:*:*:*:*:*:*",
"matchCriteriaId": "B89180B9-62D3-4CB6-88D1-FD7AFD230A70",
"versionEndExcluding": "17.0",
"versionStartIncluding": "14.2",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo \"C:\\Windows\\System32\\calc.exe\" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)"
},
{
"lang": "es",
"value": "Se ha detectado un problema en Reprise RLM versi\u00f3n 14.2. Al editar el archivo de licencia, es posible que un usuario administrador habilite una opci\u00f3n para ejecutar ejecutables arbitrarios, como lo demuestra una entrada de demostraci\u00f3n ISV \"C:\\Windows\\System32\\calc.exe\". Un atacante puede explotar esto para ejecutar un binario malicioso en el inicio, o cuando es activada la funci\u00f3n Reread/Restart Servers en el servidor web. (La explotaci\u00f3n no requiere CVE-2018-15573, porque el archivo de licencia est\u00e1 destinado a ser cambiado en la aplicaci\u00f3n)"
}
],
"id": "CVE-2021-44153",
"lastModified": "2025-04-30T21:03:30.737",
"metrics": {
"cvssMetricV2": [
{
"acInsufInfo": false,
"baseSeverity": "HIGH",
"cvssData": {
"accessComplexity": "LOW",
"accessVector": "NETWORK",
"authentication": "SINGLE",
"availabilityImpact": "COMPLETE",
"baseScore": 9.0,
"confidentialityImpact": "COMPLETE",
"integrityImpact": "COMPLETE",
"vectorString": "AV:N/AC:L/Au:S/C:C/I:C/A:C",
"version": "2.0"
},
"exploitabilityScore": 8.0,
"impactScore": 10.0,
"obtainAllPrivilege": false,
"obtainOtherPrivilege": false,
"obtainUserPrivilege": false,
"source": "nvd@nist.gov",
"type": "Primary",
"userInteractionRequired": false
}
],
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 7.2,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "HIGH",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 1.2,
"impactScore": 5.9,
"source": "nvd@nist.gov",
"type": "Primary"
}
]
},
"published": "2021-12-13T04:15:07.223",
"references": [
{
"source": "cve@mitre.org",
"tags": [
"Exploit",
"Third Party Advisory",
"VDB Entry"
],
"url": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html"
},
{
"source": "cve@mitre.org",
"tags": [
"Patch",
"Product",
"Vendor Advisory"
],
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Exploit",
"Third Party Advisory",
"VDB Entry"
],
"url": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Patch",
"Product",
"Vendor Advisory"
],
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
}
],
"sourceIdentifier": "cve@mitre.org",
"vulnStatus": "Analyzed",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "NVD-CWE-noinfo"
}
],
"source": "nvd@nist.gov",
"type": "Primary"
}
]
}
gsd-2021-44153
Vulnerability from gsd
Modified
2023-12-13 01:23
Details
An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo "C:\Windows\System32\calc.exe" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)
Aliases
Aliases
{
"GSD": {
"alias": "CVE-2021-44153",
"description": "An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo \"C:\\Windows\\System32\\calc.exe\" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)",
"id": "GSD-2021-44153",
"references": [
"https://packetstormsecurity.com/files/cve/CVE-2021-44153"
]
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2021-44153"
],
"details": "An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo \"C:\\Windows\\System32\\calc.exe\" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)",
"id": "GSD-2021-44153",
"modified": "2023-12-13T01:23:20.797425Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "cve@mitre.org",
"ID": "CVE-2021-44153",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "n/a",
"version": {
"version_data": [
{
"version_value": "n/a"
}
]
}
}
]
},
"vendor_name": "n/a"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo \"C:\\Windows\\System32\\calc.exe\" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "n/a"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes",
"refsource": "MISC",
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
},
{
"name": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html",
"refsource": "MISC",
"url": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html"
}
]
}
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:reprisesoftware:reprise_license_manager:14.2:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "cve@mitre.org",
"ID": "CVE-2021-44153"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "An issue was discovered in Reprise RLM 14.2. When editing the license file, it is possible for an admin user to enable an option to run arbitrary executables, as demonstrated by an ISV demo \"C:\\Windows\\System32\\calc.exe\" entry. An attacker can exploit this to run a malicious binary on startup, or when triggering the Reread/Restart Servers function on the webserver. (Exploitation does not require CVE-2018-15573, because the license file is meant to be changed in the application.)"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "NVD-CWE-noinfo"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html",
"refsource": "MISC",
"tags": [
"Exploit",
"Third Party Advisory",
"VDB Entry"
],
"url": "http://packetstormsecurity.com/files/165194/Reprise-License-Manager-14.2-Remote-Binary-Execution.html"
},
{
"name": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes",
"refsource": "MISC",
"tags": [
"Patch",
"Product",
"Vendor Advisory"
],
"url": "https://reprisesoftware.com/admin/rlm-admin-download.php?\u0026euagree=yes"
}
]
}
},
"impact": {
"baseMetricV2": {
"acInsufInfo": false,
"cvssV2": {
"accessComplexity": "LOW",
"accessVector": "NETWORK",
"authentication": "SINGLE",
"availabilityImpact": "COMPLETE",
"baseScore": 9.0,
"confidentialityImpact": "COMPLETE",
"integrityImpact": "COMPLETE",
"vectorString": "AV:N/AC:L/Au:S/C:C/I:C/A:C",
"version": "2.0"
},
"exploitabilityScore": 8.0,
"impactScore": 10.0,
"obtainAllPrivilege": false,
"obtainOtherPrivilege": false,
"obtainUserPrivilege": false,
"severity": "HIGH",
"userInteractionRequired": false
},
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 7.2,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "HIGH",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 1.2,
"impactScore": 5.9
}
},
"lastModifiedDate": "2021-12-15T15:41Z",
"publishedDate": "2021-12-13T04:15Z"
}
}
}
CERTFR-2023-AVI-0369
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| SAP | N/A | SAP 3D Visual Enterprise License Manager version 15 | ||
| SAP | N/A | SAP Commerce versions 2211, 2105 et 2205 | ||
| SAP | N/A | SAP Application Interface Framework (ODATA service) versions 755 et 756 | ||
| SAP | N/A | SAP Commerce (Backoffice) versions 2105 et 2205 | ||
| SAP | SAP BusinessObjects Business Intelligence | SAP BusinessObjects Business Intelligence Platform versions 420 et 430 | ||
| SAP | SAP CRM WebClient UI | SAP CRM WebClient UI versions S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, WEBCUIF 701, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800 et WEBCUIF 80 | ||
| SAP | N/A | SAPUI5 versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 et UI_700 20 | ||
| SAP | N/A | SAP GUI pour Windows versions 7.70 et 8.0 | ||
| SAP | N/A | SAP IBP EXCEL ADD-IN versions 2211, 2302 et 2305 | ||
| SAP | N/A | SAP BusinessObjects Intelligence Platform versions 420 et 430 | ||
| SAP | N/A | SAP AS NetWeaver JAVA versions SERVERCORE 7.50, J2EE-FRMW 7.50 et CORE-TOOLS 7.50 | ||
| SAP | N/A | Vendor Master Hierarchy versions SAP_APPL 500, SAP_APPL 600, SAP_APPL 602, SAP_APPL 603, SAP_APPL 604, SAP_APPL 605, SAP_APPL 606, SAP_APPL 616, SAP_APPL 617, SAP_APPL 618 et S4CORE 100 | ||
| SAP | SAP BusinessObjects Business Intelligence | SAP BusinessObjects Business Intelligence Platform (Central Management Service) versions 420 et 430 | ||
| SAP | N/A | SAP PowerDesigner (Proxy) version 16.7 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "SAP 3D Visual Enterprise License Manager version 15",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Commerce versions 2211, 2105 et 2205",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Application Interface Framework (ODATA service) versions 755 et 756",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Commerce (Backoffice) versions 2105 et 2205",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP BusinessObjects Business Intelligence Platform versions 420 et 430",
"product": {
"name": "SAP BusinessObjects Business Intelligence",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP CRM WebClient UI versions S4FND 102, S4FND 103, S4FND 104, S4FND 105, S4FND 106, S4FND 107, WEBCUIF 701, WEBCUIF 731, WEBCUIF 746, WEBCUIF 747, WEBCUIF 748, WEBCUIF 800 et WEBCUIF 80",
"product": {
"name": "SAP CRM WebClient UI",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAPUI5 versions SAP_UI 750, SAP_UI 754, SAP_UI 755, SAP_UI 756, SAP_UI 757 et UI_700 20",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP GUI pour Windows versions 7.70 et 8.0",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP IBP EXCEL ADD-IN versions 2211, 2302 et 2305",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP BusinessObjects Intelligence Platform versions 420 et 430",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP AS NetWeaver JAVA versions SERVERCORE 7.50, J2EE-FRMW 7.50 et CORE-TOOLS 7.50",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "Vendor Master Hierarchy versions SAP_APPL 500, SAP_APPL 600, SAP_APPL 602, SAP_APPL 603, SAP_APPL 604, SAP_APPL 605, SAP_APPL 606, SAP_APPL 616, SAP_APPL 617, SAP_APPL 618 et S4CORE 100",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP BusinessObjects Business Intelligence Platform (Central Management Service) versions 420 et 430",
"product": {
"name": "SAP BusinessObjects Business Intelligence",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP PowerDesigner (Proxy) version 16.7",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2021-44155",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-44155"
},
{
"name": "CVE-2023-31407",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-31407"
},
{
"name": "CVE-2023-30741",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-30741"
},
{
"name": "CVE-2021-44152",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-44152"
},
{
"name": "CVE-2022-41966",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-41966"
},
{
"name": "CVE-2023-29188",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29188"
},
{
"name": "CVE-2023-29080",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29080"
},
{
"name": "CVE-2022-27667",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-27667"
},
{
"name": "CVE-2021-44151",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-44151"
},
{
"name": "CVE-2023-30744",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-30744"
},
{
"name": "CVE-2022-32244",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-32244"
},
{
"name": "CVE-2023-30740",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-30740"
},
{
"name": "CVE-2023-30743",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-30743"
},
{
"name": "CVE-2021-44153",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-44153"
},
{
"name": "CVE-2022-39014",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-39014"
},
{
"name": "CVE-2023-31404",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-31404"
},
{
"name": "CVE-2023-30742",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-30742"
},
{
"name": "CVE-2023-32113",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-32113"
},
{
"name": "CVE-2023-28764",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-28764"
},
{
"name": "CVE-2023-29111",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29111"
},
{
"name": "CVE-2022-31596",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-31596"
},
{
"name": "CVE-2023-31406",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-31406"
},
{
"name": "CVE-2023-32112",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-32112"
},
{
"name": "CVE-2023-32111",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-32111"
},
{
"name": "CVE-2023-28762",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-28762"
},
{
"name": "CVE-2021-44154",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-44154"
}
],
"initial_release_date": "2023-05-10T00:00:00",
"last_revision_date": "2023-05-10T00:00:00",
"links": [],
"reference": "CERTFR-2023-AVI-0369",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-05-10T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
},
{
"description": "Non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
},
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits SAP.\nCertaines d\u0027entre elles permettent \u00e0 un attaquant de provoquer un\nprobl\u00e8me de s\u00e9curit\u00e9 non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur, un d\u00e9ni de service \u00e0\ndistance et un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits SAP",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 SAP 2023-05-10 du 10 mai 2023",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=1"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…