Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2023-28761 (GCVE-0-2023-28761)
Vulnerability from cvelistv5
Published
2023-04-11 02:51
Modified
2025-02-07 16:54
Severity ?
VLAI Severity ?
EPSS score ?
CWE
- CWE-306 - Missing Authentication for Critical Function
Summary
In SAP NetWeaver Enterprise Portal - version 7.50, an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.
References
| URL | Tags | ||
|---|---|---|---|
|
|
|||
Impacted products
| Vendor | Product | Version | ||
|---|---|---|---|---|
| SAP | NetWeaver Enterprise Portal |
Version: 7.50 |
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-02T13:51:38.211Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"tags": [
"x_transferred"
],
"url": "https://launchpad.support.sap.com/#/notes/3289994"
},
{
"tags": [
"x_transferred"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"title": "CVE Program Container"
},
{
"metrics": [
{
"other": {
"content": {
"id": "CVE-2023-28761",
"options": [
{
"Exploitation": "none"
},
{
"Automatable": "yes"
},
{
"Technical Impact": "partial"
}
],
"role": "CISA Coordinator",
"timestamp": "2025-02-07T16:54:25.757794Z",
"version": "2.0.3"
},
"type": "ssvc"
}
}
],
"providerMetadata": {
"dateUpdated": "2025-02-07T16:54:28.345Z",
"orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"shortName": "CISA-ADP"
},
"title": "CISA ADP Vulnrichment"
}
],
"cna": {
"affected": [
{
"defaultStatus": "unaffected",
"product": "NetWeaver Enterprise Portal",
"vendor": "SAP",
"versions": [
{
"status": "affected",
"version": "7.50"
}
]
}
],
"descriptions": [
{
"lang": "en",
"supportingMedia": [
{
"base64": false,
"type": "text/html",
"value": "\u003cp\u003eIn\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\u003c/p\u003e"
}
],
"value": "In\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\n\n"
}
],
"metrics": [
{
"cvssV3_1": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 6.5,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
"version": "3.1"
},
"format": "CVSS",
"scenarios": [
{
"lang": "en",
"value": "GENERAL"
}
]
}
],
"problemTypes": [
{
"descriptions": [
{
"cweId": "CWE-306",
"description": "CWE-306: Missing Authentication for Critical Function",
"lang": "eng",
"type": "CWE"
}
]
}
],
"providerMetadata": {
"dateUpdated": "2023-04-11T20:18:43.102Z",
"orgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
"shortName": "sap"
},
"references": [
{
"url": "https://launchpad.support.sap.com/#/notes/3289994"
},
{
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"source": {
"discovery": "UNKNOWN"
},
"title": "Missing Authentication check in SAP NetWeaver Enterprise Portal",
"x_generator": {
"engine": "Vulnogram 0.1.0-dev"
}
}
},
"cveMetadata": {
"assignerOrgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
"assignerShortName": "sap",
"cveId": "CVE-2023-28761",
"datePublished": "2023-04-11T02:51:23.530Z",
"dateReserved": "2023-03-23T04:20:27.699Z",
"dateUpdated": "2025-02-07T16:54:28.345Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"nvd": "{\"cve\":{\"id\":\"CVE-2023-28761\",\"sourceIdentifier\":\"cna@sap.com\",\"published\":\"2023-04-11T03:15:07.680\",\"lastModified\":\"2024-11-21T07:55:57.137\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"In\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\\n\\n\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N\",\"baseScore\":6.5,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":2.5},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N\",\"baseScore\":6.5,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":2.5}]},\"weaknesses\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-306\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_enterprise_portal:7.50:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"D91F9D76-39D6-4D5E-BFAE-892CB8C30A79\"}]}]}],\"references\":[{\"url\":\"https://launchpad.support.sap.com/#/notes/3289994\",\"source\":\"cna@sap.com\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://launchpad.support.sap.com/#/notes/3289994\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
"vulnrichment": {
"containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://launchpad.support.sap.com/#/notes/3289994\", \"tags\": [\"x_transferred\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"tags\": [\"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-02T13:51:38.211Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2023-28761\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"yes\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2025-02-07T16:54:25.757794Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2025-02-07T16:54:20.392Z\"}}], \"cna\": {\"title\": \"Missing Authentication check in SAP NetWeaver Enterprise Portal\", \"source\": {\"discovery\": \"UNKNOWN\"}, \"metrics\": [{\"format\": \"CVSS\", \"cvssV3_1\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 6.5, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"MEDIUM\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N\", \"integrityImpact\": \"LOW\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"NONE\", \"privilegesRequired\": \"NONE\", \"confidentialityImpact\": \"LOW\"}, \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"affected\": [{\"vendor\": \"SAP\", \"product\": \"NetWeaver Enterprise Portal\", \"versions\": [{\"status\": \"affected\", \"version\": \"7.50\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://launchpad.support.sap.com/#/notes/3289994\"}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\"}], \"x_generator\": {\"engine\": \"Vulnogram 0.1.0-dev\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"In\\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\\n\\n\", \"supportingMedia\": [{\"type\": \"text/html\", \"value\": \"\u003cp\u003eIn\\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\u003c/p\u003e\", \"base64\": false}]}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"eng\", \"type\": \"CWE\", \"cweId\": \"CWE-306\", \"description\": \"CWE-306: Missing Authentication for Critical Function\"}]}], \"providerMetadata\": {\"orgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"shortName\": \"sap\", \"dateUpdated\": \"2023-04-11T20:18:43.102Z\"}}}",
"cveMetadata": "{\"cveId\": \"CVE-2023-28761\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2025-02-07T16:54:28.345Z\", \"dateReserved\": \"2023-03-23T04:20:27.699Z\", \"assignerOrgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"datePublished\": \"2023-04-11T02:51:23.530Z\", \"assignerShortName\": \"sap\"}",
"dataType": "CVE_RECORD",
"dataVersion": "5.1"
}
}
}
gsd-2023-28761
Vulnerability from gsd
Modified
2023-12-13 01:20
Details
In SAP NetWeaver Enterprise Portal - version 7.50, an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.
Aliases
Aliases
{
"GSD": {
"alias": "CVE-2023-28761",
"id": "GSD-2023-28761"
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2023-28761"
],
"details": "In\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\n\n",
"id": "GSD-2023-28761",
"modified": "2023-12-13T01:20:47.793491Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "cna@sap.com",
"ID": "CVE-2023-28761",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "NetWeaver Enterprise Portal",
"version": {
"version_data": [
{
"version_affected": "=",
"version_value": "7.50"
}
]
}
}
]
},
"vendor_name": "SAP"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "In\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\n\n"
}
]
},
"generator": {
"engine": "Vulnogram 0.1.0-dev"
},
"impact": {
"cvss": [
{
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 6.5,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
"version": "3.1"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"cweId": "CWE-306",
"lang": "eng",
"value": "CWE-306: Missing Authentication for Critical Function"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://launchpad.support.sap.com/#/notes/3289994",
"refsource": "MISC",
"url": "https://launchpad.support.sap.com/#/notes/3289994"
},
{
"name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
"refsource": "MISC",
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
]
},
"source": {
"discovery": "UNKNOWN"
}
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:sap:netweaver_enterprise_portal:7.50:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "cna@sap.com",
"ID": "CVE-2023-28761"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "In\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\n\n"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-306"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
"refsource": "MISC",
"tags": [
"Vendor Advisory"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
},
{
"name": "https://launchpad.support.sap.com/#/notes/3289994",
"refsource": "MISC",
"tags": [
"Permissions Required"
],
"url": "https://launchpad.support.sap.com/#/notes/3289994"
}
]
}
},
"impact": {
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 6.5,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
"version": "3.1"
},
"exploitabilityScore": 3.9,
"impactScore": 2.5
}
},
"lastModifiedDate": "2023-04-14T19:48Z",
"publishedDate": "2023-04-11T03:15Z"
}
}
}
wid-sec-w-2023-0904
Vulnerability from csaf_certbund
Published
2023-04-10 22:00
Modified
2023-04-10 22:00
Summary
SAP Patchday April 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuführen, einen Cross-Site-Scripting-Angriff durchzuführen, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-0904 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0904.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-0904 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0904"
},
{
"category": "external",
"summary": "SAP Security Patch Day April 2023 vom 2023-04-10",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday April 2023",
"tracking": {
"current_release_date": "2023-04-10T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:48:24.376+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-0904",
"initial_release_date": "2023-04-10T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-04-10T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-29189",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29189"
},
{
"cve": "CVE-2023-29187",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29187"
},
{
"cve": "CVE-2023-29186",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29186"
},
{
"cve": "CVE-2023-29185",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29185"
},
{
"cve": "CVE-2023-29112",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29112"
},
{
"cve": "CVE-2023-29111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29111"
},
{
"cve": "CVE-2023-29110",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29110"
},
{
"cve": "CVE-2023-29109",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29109"
},
{
"cve": "CVE-2023-29108",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29108"
},
{
"cve": "CVE-2023-28765",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-28765"
},
{
"cve": "CVE-2023-28763",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-28763"
},
{
"cve": "CVE-2023-28761",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-28761"
},
{
"cve": "CVE-2023-27897",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27897"
},
{
"cve": "CVE-2023-27499",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27499"
},
{
"cve": "CVE-2023-27497",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27497"
},
{
"cve": "CVE-2023-27269",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27269"
},
{
"cve": "CVE-2023-27267",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27267"
},
{
"cve": "CVE-2023-26458",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-26458"
},
{
"cve": "CVE-2023-24528",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-24528"
},
{
"cve": "CVE-2023-24527",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-24527"
},
{
"cve": "CVE-2023-1903",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-1903"
},
{
"cve": "CVE-2022-41272",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2022-41272"
},
{
"cve": "CVE-2021-33683",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2021-33683"
},
{
"cve": "CVE-2020-13936",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2020-13936"
}
]
}
WID-SEC-W-2023-0904
Vulnerability from csaf_certbund
Published
2023-04-10 22:00
Modified
2023-04-10 22:00
Summary
SAP Patchday April 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuführen, einen Cross-Site-Scripting-Angriff durchzuführen, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuführen oder Sicherheitsvorkehrungen zu umgehen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-0904 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0904.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-0904 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0904"
},
{
"category": "external",
"summary": "SAP Security Patch Day April 2023 vom 2023-04-10",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday April 2023",
"tracking": {
"current_release_date": "2023-04-10T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:48:24.376+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-0904",
"initial_release_date": "2023-04-10T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-04-10T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-29189",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29189"
},
{
"cve": "CVE-2023-29187",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29187"
},
{
"cve": "CVE-2023-29186",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29186"
},
{
"cve": "CVE-2023-29185",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29185"
},
{
"cve": "CVE-2023-29112",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29112"
},
{
"cve": "CVE-2023-29111",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29111"
},
{
"cve": "CVE-2023-29110",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29110"
},
{
"cve": "CVE-2023-29109",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29109"
},
{
"cve": "CVE-2023-29108",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-29108"
},
{
"cve": "CVE-2023-28765",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-28765"
},
{
"cve": "CVE-2023-28763",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-28763"
},
{
"cve": "CVE-2023-28761",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-28761"
},
{
"cve": "CVE-2023-27897",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27897"
},
{
"cve": "CVE-2023-27499",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27499"
},
{
"cve": "CVE-2023-27497",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27497"
},
{
"cve": "CVE-2023-27269",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27269"
},
{
"cve": "CVE-2023-27267",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-27267"
},
{
"cve": "CVE-2023-26458",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-26458"
},
{
"cve": "CVE-2023-24528",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-24528"
},
{
"cve": "CVE-2023-24527",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-24527"
},
{
"cve": "CVE-2023-1903",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2023-1903"
},
{
"cve": "CVE-2022-41272",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2022-41272"
},
{
"cve": "CVE-2021-33683",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2021-33683"
},
{
"cve": "CVE-2020-13936",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in SAP Software. Die Fehler bestehen in den Produkten Diagnostics Agent, Business Client, NetWeaver, BusinessObjects Business Intelligence Platform, NetWeaver Application Server for ABAP and ABAP Platform, Landscape Management, SapSetup, Fiori apps 1.0 for travel management in SAP ERP, NetWeaver AS for ABAP and ABAP Platform, GUI for HTML, CRM, Web Dispatcher and Internet Communication Manager, NetWeaver AS Java for Deploy Service, ABAP Platform and SAP Web Dispatcher, Commerce, Application Interface Framework sowie HCM Fiori App My Forms. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Informationen offenzulegen, Dateien zu manipulieren, einen Denial of Service Zustand herbeizuf\u00fchren oder Sicherheitsvorkehrungen zu umgehen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-04-10T22:00:00.000+00:00",
"title": "CVE-2020-13936"
}
]
}
ghsa-7mj9-5274-6hpv
Vulnerability from github
Published
2023-07-06 19:24
Modified
2024-04-04 05:35
Severity ?
VLAI Severity ?
Details
In SAP NetWeaver Enterprise Portal - version 7.50, an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.
{
"affected": [],
"aliases": [
"CVE-2023-28761"
],
"database_specific": {
"cwe_ids": [
"CWE-306"
],
"github_reviewed": false,
"github_reviewed_at": null,
"nvd_published_at": "2023-04-11T03:15:00Z",
"severity": "MODERATE"
},
"details": "In\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\n\n",
"id": "GHSA-7mj9-5274-6hpv",
"modified": "2024-04-04T05:35:46Z",
"published": "2023-07-06T19:24:13Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2023-28761"
},
{
"type": "WEB",
"url": "https://launchpad.support.sap.com/#/notes/3289994"
},
{
"type": "WEB",
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
"type": "CVSS_V3"
}
]
}
CERTFR-2023-AVI-0301
Vulnerability from certfr_avis
De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| SAP | N/A | SAP Web Dispatcher and Internet Communication Manager versions KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22,7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21,7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.73, WEBDISP 7.53, 7.73, 7.77, 7.81, 7.82,7.83, KERNEL 7.21, 7.22,7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83 | ||
| SAP | N/A | SAP NetWeaver Process Integration version 7.50 | ||
| SAP | N/A | SAP Commerce versions 1905, 2005 et 2011 | ||
| SAP | N/A | SAP Application Interface Framework (Message Monitoring and Message Monitoring for Administrators Application versions 600 et 700 | ||
| SAP | N/A | SAP NetWeaver AS for ABAP and ABAP Platform versions 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791 | ||
| SAP | N/A | SAP Landscape Management version 3.0 | ||
| SAP | N/A | SAP Application Interface Framework (ODATA service) versions 755 et 756 | ||
| SAP | N/A | SAP NetWeaver AS for ABAP (Business Server Pages) versions 700, 701, 702, 731, 740,750, 751, 752, 753, 754, 755, 756 et 757 | ||
| SAP | SAP BusinessObjects Business Intelligence | SAP BusinessObjects Business Intelligence Platform (Promotion Management) versions 420 et 430 | ||
| SAP | SAP NetWeaver AS Java | SAP NetWeaver AS Java for Deploy Service version 7.50 | ||
| SAP | N/A | SAP Business Client versions 6.5, 7.0 et 7.70 | ||
| SAP | N/A | SAP Application Interface Framework (Log Message View of Message Dashboard) versions AIF 703, AIFX 702, S4CORE 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E | ||
| SAP | N/A | SAP CRM versions 700, 701, 702, 712 et 713 | ||
| SAP | N/A | SapSetup (Software Installation Program) version 9.0 | ||
| SAP | N/A | SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector) version 720 | ||
| SAP | N/A | SAP HCM Fiori App My Forms (Fiori 2.0) version 605 | ||
| SAP | NetWeaver Enterprise Portal | SAP NetWeaver Enterprise Portal version 7.50 | ||
| SAP | N/A | SAP CRM (WebClient UI) versions S4FND 102, 103, 104, 105, 106, 107, WEBCUIF, 700, 701, 731, 730, 746, 747, 748, 800 et 801 | ||
| SAP | N/A | SAP NetWeaver (BI CONT ADDON) versions 707, 737, 747 et 757 | ||
| SAP | N/A | SAP GUI for HTML versions KERNEL 7.22, 7.53, 7.547.77, 7.81, 7.85, 7.89, 7.91, KRNL64UC, 7.22, 7.22EXT, KRNL64UC 7.22 et 7.22EXT | ||
| SAP | N/A | SAP Application Interface Framework (Custom Hint of Message Dashboard Application versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E | ||
| SAP | N/A | SAP NetWeaver Application Server for ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791 | ||
| SAP | N/A | ABAP Platform and SAP Web Dispatcher versions WEBDISP 7.85, 7.89, KERNEL 7.85, 7.89 et 7.91 | ||
| SAP | N/A | SAP Fiori apps 1.0 for travel management in SAP ERP (My Travel Requests) version 600 |
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "SAP Web Dispatcher and Internet Communication Manager versions KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22,7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21,7.21EXT, 7.22, 7.22EXT, 7.49, 7.53, 7.73, WEBDISP 7.53, 7.73, 7.77, 7.81, 7.82,7.83, KERNEL 7.21, 7.22,7.49, 7.53, 7.73, 7.77, 7.81, 7.82 et 7.83",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver Process Integration version 7.50",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Commerce versions 1905, 2005 et 2011",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Application Interface Framework (Message Monitoring and Message Monitoring for Administrators Application versions 600 et 700",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver AS for ABAP and ABAP Platform versions 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Landscape Management version 3.0",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Application Interface Framework (ODATA service) versions 755 et 756",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver AS for ABAP (Business Server Pages) versions 700, 701, 702, 731, 740,750, 751, 752, 753, 754, 755, 756 et 757",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP BusinessObjects Business Intelligence Platform (Promotion Management) versions 420 et 430",
"product": {
"name": "SAP BusinessObjects Business Intelligence",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver AS Java for Deploy Service version 7.50",
"product": {
"name": "SAP NetWeaver AS Java",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Business Client versions 6.5, 7.0 et 7.70",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Application Interface Framework (Log Message View of Message Dashboard) versions AIF 703, AIFX 702, S4CORE 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP CRM versions 700, 701, 702, 712 et 713",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SapSetup (Software Installation Program) version 9.0",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector) version 720",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP HCM Fiori App My Forms (Fiori 2.0) version 605",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver Enterprise Portal version 7.50",
"product": {
"name": "NetWeaver Enterprise Portal",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP CRM (WebClient UI) versions S4FND 102, 103, 104, 105, 106, 107, WEBCUIF, 700, 701, 731, 730, 746, 747, 748, 800 et 801",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver (BI CONT ADDON) versions 707, 737, 747 et 757",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP GUI for HTML versions KERNEL 7.22, 7.53, 7.547.77, 7.81, 7.85, 7.89, 7.91, KRNL64UC, 7.22, 7.22EXT, KRNL64UC 7.22 et 7.22EXT",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Application Interface Framework (Custom Hint of Message Dashboard Application versions AIF 703, AIFX 702, S4CORE 100, 101, SAP_BASIS 755, 756, SAP_ABA 75C, 75D et 75E",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP NetWeaver Application Server for ABAP and ABAP Platform versions 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 et 791",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "ABAP Platform and SAP Web Dispatcher versions WEBDISP 7.85, 7.89, KERNEL 7.85, 7.89 et 7.91",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
},
{
"description": "SAP Fiori apps 1.0 for travel management in SAP ERP (My Travel Requests) version 600",
"product": {
"name": "N/A",
"vendor": {
"name": "SAP",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-24527",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-24527"
},
{
"name": "CVE-2023-29185",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29185"
},
{
"name": "CVE-2023-29189",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29189"
},
{
"name": "CVE-2023-29109",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29109"
},
{
"name": "CVE-2020-13936",
"url": "https://www.cve.org/CVERecord?id=CVE-2020-13936"
},
{
"name": "CVE-2023-27897",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-27897"
},
{
"name": "CVE-2023-29187",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29187"
},
{
"name": "CVE-2022-41272",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-41272"
},
{
"name": "CVE-2023-24528",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-24528"
},
{
"name": "CVE-2023-26458",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-26458"
},
{
"name": "CVE-2023-29186",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29186"
},
{
"name": "CVE-2021-33683",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-33683"
},
{
"name": "CVE-2023-27267",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-27267"
},
{
"name": "CVE-2023-28763",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-28763"
},
{
"name": "CVE-2023-29110",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29110"
},
{
"name": "CVE-2023-27499",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-27499"
},
{
"name": "CVE-2023-28761",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-28761"
},
{
"name": "CVE-2023-27269",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-27269"
},
{
"name": "CVE-2023-27497",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-27497"
},
{
"name": "CVE-2023-1903",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-1903"
},
{
"name": "CVE-2023-29111",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29111"
},
{
"name": "CVE-2023-29108",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29108"
},
{
"name": "CVE-2023-28765",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-28765"
},
{
"name": "CVE-2023-29112",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-29112"
}
],
"initial_release_date": "2023-04-12T00:00:00",
"last_revision_date": "2023-04-12T00:00:00",
"links": [],
"reference": "CERTFR-2023-AVI-0301",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-04-12T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Injection de code indirecte \u00e0 distance (XSS)"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les produits SAP.\nCertaines d\u0027entre elles permettent \u00e0 un attaquant de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance, un d\u00e9ni de service \u00e0 distance\net un contournement de la politique de s\u00e9curit\u00e9.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits SAP",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 SAP du 11 avril 2023",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=1"
}
]
}
fkie_cve-2023-28761
Vulnerability from fkie_nvd
Published
2023-04-11 03:15
Modified
2024-11-21 07:55
Severity ?
6.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
6.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
6.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Summary
In SAP NetWeaver Enterprise Portal - version 7.50, an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.
References
Impacted products
| Vendor | Product | Version | |
|---|---|---|---|
| sap | netweaver_enterprise_portal | 7.50 |
{
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:sap:netweaver_enterprise_portal:7.50:*:*:*:*:*:*:*",
"matchCriteriaId": "D91F9D76-39D6-4D5E-BFAE-892CB8C30A79",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "In\u00a0SAP NetWeaver Enterprise Portal - version 7.50,\u00a0an unauthenticated attacker can attach to an open interface and make use of an open API to access a service which will enable them to access or modify server settings and data, leading to limited impact on confidentiality and integrity.\n\n"
}
],
"id": "CVE-2023-28761",
"lastModified": "2024-11-21T07:55:57.137",
"metrics": {
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 6.5,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
"version": "3.1"
},
"exploitabilityScore": 3.9,
"impactScore": 2.5,
"source": "cna@sap.com",
"type": "Secondary"
},
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 6.5,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
"version": "3.1"
},
"exploitabilityScore": 3.9,
"impactScore": 2.5,
"source": "nvd@nist.gov",
"type": "Primary"
}
]
},
"published": "2023-04-11T03:15:07.680",
"references": [
{
"source": "cna@sap.com",
"tags": [
"Permissions Required"
],
"url": "https://launchpad.support.sap.com/#/notes/3289994"
},
{
"source": "cna@sap.com",
"tags": [
"Vendor Advisory"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Permissions Required"
],
"url": "https://launchpad.support.sap.com/#/notes/3289994"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Vendor Advisory"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"sourceIdentifier": "cna@sap.com",
"vulnStatus": "Modified",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "CWE-306"
}
],
"source": "cna@sap.com",
"type": "Primary"
}
]
}
cnvd-2023-40165
Vulnerability from cnvd
Title
SAP NetWeaver Enterprise Portal访问控制错误漏洞
Description
SAP NetWeaver Enterprise Portal是德国思爱普(SAP)公司的一个SAP NetWeaver的Web前端组件。
SAP NetWeaver Enterprise Portal存在安全漏洞,远程攻击者可利用该漏洞提交特殊的请求,可未授权访问系统。
Severity
中
VLAI Severity ?
Patch Name
SAP NetWeaver Enterprise Portal访问控制错误漏洞的补丁
Patch Description
SAP NetWeaver Enterprise Portal是德国思爱普(SAP)公司的一个SAP NetWeaver的Web前端组件。
SAP NetWeaver Enterprise Portal存在安全漏洞,远程攻击者可利用该漏洞提交特殊的请求,可未授权访问系统。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。
Formal description
厂商已发布了漏洞修复程序,请及时关注更新: https://launchpad.support.sap.com/#/notes/3305369
Reference
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Impacted products
| Name | SAP SAP NetWeaver Enterprise Portal 7.50 |
|---|
{
"cves": {
"cve": {
"cveNumber": "CVE-2023-28761",
"cveUrl": "https://nvd.nist.gov/vuln/detail/CVE-2023-28761"
}
},
"description": "SAP NetWeaver Enterprise Portal\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u4e2aSAP NetWeaver\u7684Web\u524d\u7aef\u7ec4\u4ef6\u3002\n\nSAP NetWeaver Enterprise Portal\u5b58\u5728\u5b89\u5168\u6f0f\u6d1e\uff0c\u8fdc\u7a0b\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u63d0\u4ea4\u7279\u6b8a\u7684\u8bf7\u6c42\uff0c\u53ef\u672a\u6388\u6743\u8bbf\u95ee\u7cfb\u7edf\u3002",
"formalWay": "\u5382\u5546\u5df2\u53d1\u5e03\u4e86\u6f0f\u6d1e\u4fee\u590d\u7a0b\u5e8f\uff0c\u8bf7\u53ca\u65f6\u5173\u6ce8\u66f4\u65b0\uff1a\r\nhttps://launchpad.support.sap.com/#/notes/3305369",
"isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
"number": "CNVD-2023-40165",
"openTime": "2023-05-26",
"patchDescription": "SAP NetWeaver Enterprise Portal\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u4e2aSAP NetWeaver\u7684Web\u524d\u7aef\u7ec4\u4ef6\u3002\r\n\r\nSAP NetWeaver Enterprise Portal\u5b58\u5728\u5b89\u5168\u6f0f\u6d1e\uff0c\u8fdc\u7a0b\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u63d0\u4ea4\u7279\u6b8a\u7684\u8bf7\u6c42\uff0c\u53ef\u672a\u6388\u6743\u8bbf\u95ee\u7cfb\u7edf\u3002\u76ee\u524d\uff0c\u4f9b\u5e94\u5546\u53d1\u5e03\u4e86\u5b89\u5168\u516c\u544a\u53ca\u76f8\u5173\u8865\u4e01\u4fe1\u606f\uff0c\u4fee\u590d\u4e86\u6b64\u6f0f\u6d1e\u3002",
"patchName": "SAP NetWeaver Enterprise Portal\u8bbf\u95ee\u63a7\u5236\u9519\u8bef\u6f0f\u6d1e\u7684\u8865\u4e01",
"products": {
"product": "SAP SAP NetWeaver Enterprise Portal 7.50"
},
"referenceLink": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
"serverity": "\u4e2d",
"submitTime": "2023-04-17",
"title": "SAP NetWeaver Enterprise Portal\u8bbf\u95ee\u63a7\u5236\u9519\u8bef\u6f0f\u6d1e"
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…