Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2023-33989 (GCVE-0-2023-33989)
Vulnerability from cvelistv5
Published
2023-07-11 02:28
Modified
2024-10-23 17:29
Severity ?
VLAI Severity ?
EPSS score ?
CWE
- CWE-22 - Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
Summary
An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.
References
| ▼ | URL | Tags | |
|---|---|---|---|
| cna@sap.com | https://me.sap.com/notes/3331376 | Permissions Required | |
| cna@sap.com | https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html | Vendor Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | https://me.sap.com/notes/3331376 | Permissions Required | |
| af854a3a-2127-422b-91ae-364da2661108 | https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html | Vendor Advisory |
Impacted products
| Vendor | Product | Version | ||
|---|---|---|---|---|
| SAP_SE | SAP NetWeaver (BI CONT ADD ON) |
Version: 707 Version: 737 Version: 747 Version: 757 |
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-02T15:54:14.322Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"tags": [
"x_transferred"
],
"url": "https://me.sap.com/notes/3331376"
},
{
"tags": [
"x_transferred"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"title": "CVE Program Container"
},
{
"metrics": [
{
"other": {
"content": {
"id": "CVE-2023-33989",
"options": [
{
"Exploitation": "none"
},
{
"Automatable": "no"
},
{
"Technical Impact": "partial"
}
],
"role": "CISA Coordinator",
"timestamp": "2024-10-23T17:25:45.839105Z",
"version": "2.0.3"
},
"type": "ssvc"
}
}
],
"providerMetadata": {
"dateUpdated": "2024-10-23T17:29:51.327Z",
"orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"shortName": "CISA-ADP"
},
"title": "CISA ADP Vulnrichment"
}
],
"cna": {
"affected": [
{
"defaultStatus": "unaffected",
"product": "SAP NetWeaver (BI CONT ADD ON)",
"vendor": "SAP_SE",
"versions": [
{
"status": "affected",
"version": "707"
},
{
"status": "affected",
"version": "737"
},
{
"status": "affected",
"version": "747"
},
{
"status": "affected",
"version": "757"
}
]
}
],
"descriptions": [
{
"lang": "en",
"supportingMedia": [
{
"base64": false,
"type": "text/html",
"value": "\u003cp\u003eAn attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\u003c/p\u003e"
}
],
"value": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n"
}
],
"metrics": [
{
"cvssV3_1": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.7,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "HIGH",
"scope": "CHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H",
"version": "3.1"
},
"format": "CVSS",
"scenarios": [
{
"lang": "en",
"value": "GENERAL"
}
]
}
],
"problemTypes": [
{
"descriptions": [
{
"cweId": "CWE-22",
"description": "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)",
"lang": "eng",
"type": "CWE"
}
]
}
],
"providerMetadata": {
"dateUpdated": "2023-07-11T02:28:49.510Z",
"orgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
"shortName": "sap"
},
"references": [
{
"url": "https://me.sap.com/notes/3331376"
},
{
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"source": {
"discovery": "UNKNOWN"
},
"title": "Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON)",
"x_generator": {
"engine": "Vulnogram 0.1.0-dev"
}
}
},
"cveMetadata": {
"assignerOrgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
"assignerShortName": "sap",
"cveId": "CVE-2023-33989",
"datePublished": "2023-07-11T02:28:49.510Z",
"dateReserved": "2023-05-24T20:41:32.834Z",
"dateUpdated": "2024-10-23T17:29:51.327Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"nvd": "{\"cve\":{\"id\":\"CVE-2023-33989\",\"sourceIdentifier\":\"cna@sap.com\",\"published\":\"2023-07-11T03:15:09.587\",\"lastModified\":\"2024-11-21T08:06:21.703\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\\n\\n\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H\",\"baseScore\":8.7,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"HIGH\",\"userInteraction\":\"NONE\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":2.3,\"impactScore\":5.8},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H\",\"baseScore\":8.1,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":2.8,\"impactScore\":5.2}]},\"weaknesses\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-22\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_bi_content:707:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"BD582724-499B-448A-BCC1-308E4BF4F0E8\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_bi_content:737:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"32710905-F628-494B-BD88-30BA5DC9B995\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_bi_content:747:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"B67959BB-333F-4EC1-88BC-F4CB4B7185EF\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_bi_content:757:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"1E3ACFF9-B538-4693-939A-90426AA1DFC8\"}]}]}],\"references\":[{\"url\":\"https://me.sap.com/notes/3331376\",\"source\":\"cna@sap.com\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://me.sap.com/notes/3331376\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
"vulnrichment": {
"containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://me.sap.com/notes/3331376\", \"tags\": [\"x_transferred\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"tags\": [\"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-02T15:54:14.322Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2023-33989\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-10-23T17:25:45.839105Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-10-23T17:29:46.108Z\"}}], \"cna\": {\"title\": \"Directory Traversal vulnerability in SAP NetWeaver (BI CONT ADD ON)\", \"source\": {\"discovery\": \"UNKNOWN\"}, \"metrics\": [{\"format\": \"CVSS\", \"cvssV3_1\": {\"scope\": \"CHANGED\", \"version\": \"3.1\", \"baseScore\": 8.7, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"HIGH\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H\", \"integrityImpact\": \"HIGH\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"HIGH\", \"privilegesRequired\": \"HIGH\", \"confidentialityImpact\": \"NONE\"}, \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"affected\": [{\"vendor\": \"SAP_SE\", \"product\": \"SAP NetWeaver (BI CONT ADD ON)\", \"versions\": [{\"status\": \"affected\", \"version\": \"707\"}, {\"status\": \"affected\", \"version\": \"737\"}, {\"status\": \"affected\", \"version\": \"747\"}, {\"status\": \"affected\", \"version\": \"757\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://me.sap.com/notes/3331376\"}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\"}], \"x_generator\": {\"engine\": \"Vulnogram 0.1.0-dev\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\\n\\n\", \"supportingMedia\": [{\"type\": \"text/html\", \"value\": \"\u003cp\u003eAn attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\u003c/p\u003e\", \"base64\": false}]}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"eng\", \"type\": \"CWE\", \"cweId\": \"CWE-22\", \"description\": \"CWE-22: Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)\"}]}], \"providerMetadata\": {\"orgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"shortName\": \"sap\", \"dateUpdated\": \"2023-07-11T02:28:49.510Z\"}}}",
"cveMetadata": "{\"cveId\": \"CVE-2023-33989\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2024-10-23T17:29:51.327Z\", \"dateReserved\": \"2023-05-24T20:41:32.834Z\", \"assignerOrgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"datePublished\": \"2023-07-11T02:28:49.510Z\", \"assignerShortName\": \"sap\"}",
"dataType": "CVE_RECORD",
"dataVersion": "5.1"
}
}
}
WID-SEC-W-2023-1980
Vulnerability from csaf_certbund
Published
2023-08-07 22:00
Modified
2023-08-07 22:00
Summary
SAP Patchday August 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuführen, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuführen, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuführen.
Betroffene Betriebssysteme
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1980 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1980.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1980 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1980"
},
{
"category": "external",
"summary": "SAP Security Patch Day August 2023 vom 2023-08-07",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday August 2023",
"tracking": {
"current_release_date": "2023-08-07T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:56:39.155+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1980",
"initial_release_date": "2023-08-07T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-08-07T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-39440",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39440"
},
{
"cve": "CVE-2023-39439",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39439"
},
{
"cve": "CVE-2023-39437",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39437"
},
{
"cve": "CVE-2023-39436",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39436"
},
{
"cve": "CVE-2023-37492",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37492"
},
{
"cve": "CVE-2023-37491",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37491"
},
{
"cve": "CVE-2023-37490",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37490"
},
{
"cve": "CVE-2023-37488",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37488"
},
{
"cve": "CVE-2023-37487",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37487"
},
{
"cve": "CVE-2023-37486",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37486"
},
{
"cve": "CVE-2023-37484",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37484"
},
{
"cve": "CVE-2023-37483",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37483"
},
{
"cve": "CVE-2023-36926",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36926"
},
{
"cve": "CVE-2023-36923",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36923"
},
{
"cve": "CVE-2023-36922",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36922"
},
{
"cve": "CVE-2023-33993",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-33993"
},
{
"cve": "CVE-2023-33989",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-33989"
}
]
}
wid-sec-w-2023-1980
Vulnerability from csaf_certbund
Published
2023-08-07 22:00
Modified
2023-08-07 22:00
Summary
SAP Patchday August 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuführen, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuführen, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuführen.
Betroffene Betriebssysteme
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1980 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1980.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1980 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1980"
},
{
"category": "external",
"summary": "SAP Security Patch Day August 2023 vom 2023-08-07",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday August 2023",
"tracking": {
"current_release_date": "2023-08-07T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:56:39.155+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1980",
"initial_release_date": "2023-08-07T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-08-07T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-39440",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39440"
},
{
"cve": "CVE-2023-39439",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39439"
},
{
"cve": "CVE-2023-39437",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39437"
},
{
"cve": "CVE-2023-39436",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-39436"
},
{
"cve": "CVE-2023-37492",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37492"
},
{
"cve": "CVE-2023-37491",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37491"
},
{
"cve": "CVE-2023-37490",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37490"
},
{
"cve": "CVE-2023-37488",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37488"
},
{
"cve": "CVE-2023-37487",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37487"
},
{
"cve": "CVE-2023-37486",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37486"
},
{
"cve": "CVE-2023-37484",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37484"
},
{
"cve": "CVE-2023-37483",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-37483"
},
{
"cve": "CVE-2023-36926",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36926"
},
{
"cve": "CVE-2023-36923",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36923"
},
{
"cve": "CVE-2023-36922",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-36922"
},
{
"cve": "CVE-2023-33993",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-33993"
},
{
"cve": "CVE-2023-33989",
"notes": [
{
"category": "description",
"text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-08-07T22:00:00.000+00:00",
"title": "CVE-2023-33989"
}
]
}
WID-SEC-W-2023-1705
Vulnerability from csaf_certbund
Published
2023-07-10 22:00
Modified
2023-07-10 22:00
Summary
SAP Patchday Juli 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuführen, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszulösen oder Informationen offenzulegen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuf\u00fchren, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszul\u00f6sen oder Informationen offenzulegen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1705 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1705.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1705 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1705"
},
{
"category": "external",
"summary": "SAP Patchday July 2023 vom 2023-07-11",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday Juli 2023",
"tracking": {
"current_release_date": "2023-07-10T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:55:14.247+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1705",
"initial_release_date": "2023-07-10T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-07-10T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-36925",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36925"
},
{
"cve": "CVE-2023-36924",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36924"
},
{
"cve": "CVE-2023-36922",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36922"
},
{
"cve": "CVE-2023-36921",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36921"
},
{
"cve": "CVE-2023-36920",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36920"
},
{
"cve": "CVE-2023-36919",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36919"
},
{
"cve": "CVE-2023-36918",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36918"
},
{
"cve": "CVE-2023-36917",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36917"
},
{
"cve": "CVE-2023-35874",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35874"
},
{
"cve": "CVE-2023-35873",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35873"
},
{
"cve": "CVE-2023-35872",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35872"
},
{
"cve": "CVE-2023-35871",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35871"
},
{
"cve": "CVE-2023-35870",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35870"
},
{
"cve": "CVE-2023-33992",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33992"
},
{
"cve": "CVE-2023-33991",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33991"
},
{
"cve": "CVE-2023-33990",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33990"
},
{
"cve": "CVE-2023-33989",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33989"
},
{
"cve": "CVE-2023-33988",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33988"
},
{
"cve": "CVE-2023-33987",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33987"
},
{
"cve": "CVE-2023-31405",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-31405"
}
]
}
wid-sec-w-2023-1705
Vulnerability from csaf_certbund
Published
2023-07-10 22:00
Modified
2023-07-10 22:00
Summary
SAP Patchday Juli 2023
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuführen, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszulösen oder Informationen offenzulegen.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuf\u00fchren, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszul\u00f6sen oder Informationen offenzulegen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-1705 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1705.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-1705 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1705"
},
{
"category": "external",
"summary": "SAP Patchday July 2023 vom 2023-07-11",
"url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
}
],
"source_lang": "en-US",
"title": "SAP Patchday Juli 2023",
"tracking": {
"current_release_date": "2023-07-10T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:55:14.247+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-1705",
"initial_release_date": "2023-07-10T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-07-10T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "SAP Software",
"product": {
"name": "SAP Software",
"product_id": "T016476",
"product_identification_helper": {
"cpe": "cpe:/a:sap:sap:-"
}
}
}
],
"category": "vendor",
"name": "SAP"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-36925",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36925"
},
{
"cve": "CVE-2023-36924",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36924"
},
{
"cve": "CVE-2023-36922",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36922"
},
{
"cve": "CVE-2023-36921",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36921"
},
{
"cve": "CVE-2023-36920",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36920"
},
{
"cve": "CVE-2023-36919",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36919"
},
{
"cve": "CVE-2023-36918",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36918"
},
{
"cve": "CVE-2023-36917",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-36917"
},
{
"cve": "CVE-2023-35874",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35874"
},
{
"cve": "CVE-2023-35873",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35873"
},
{
"cve": "CVE-2023-35872",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35872"
},
{
"cve": "CVE-2023-35871",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35871"
},
{
"cve": "CVE-2023-35870",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35870"
},
{
"cve": "CVE-2023-33992",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33992"
},
{
"cve": "CVE-2023-33991",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33991"
},
{
"cve": "CVE-2023-33990",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33990"
},
{
"cve": "CVE-2023-33989",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33989"
},
{
"cve": "CVE-2023-33988",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33988"
},
{
"cve": "CVE-2023-33987",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33987"
},
{
"cve": "CVE-2023-31405",
"notes": [
{
"category": "description",
"text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T016476"
]
},
"release_date": "2023-07-10T22:00:00.000+00:00",
"title": "CVE-2023-31405"
}
]
}
cnvd-2023-65181
Vulnerability from cnvd
Title: SAP NetWeaver路径遍历漏洞(CNVD-2023-65181)
Description:
SAP NetWeaver是德国思爱普(SAP)公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。
SAP NetWeaver存在路径遍历漏洞,该漏洞源于程序未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞导致系统受损。
Severity: 高
Patch Name: SAP NetWeaver路径遍历漏洞(CNVD-2023-65181)的补丁
Patch Description:
SAP NetWeaver是德国思爱普(SAP)公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。
SAP NetWeaver存在路径遍历漏洞,该漏洞源于程序未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞导致系统受损。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。
Formal description:
厂商已发布了漏洞修复程序,请及时关注更新: https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Reference: https://me.sap.com/notes/3331376
Impacted products
| Name | ['SAP SAP Netweaver 707', 'SAP SAP Netweaver 737', 'SAP SAP Netweaver 747', 'SAP SAP Netweaver 757'] |
|---|
{
"cves": {
"cve": {
"cveNumber": "CVE-2023-33989",
"cveUrl": "https://nvd.nist.gov/vuln/detail/CVE-2023-33989"
}
},
"description": "SAP NetWeaver\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u5957\u9762\u5411\u670d\u52a1\u7684\u96c6\u6210\u5316\u5e94\u7528\u5e73\u53f0\u3002\u8be5\u5e73\u53f0\u4e3b\u8981\u4e3aSAP\u5e94\u7528\u7a0b\u5e8f\u63d0\u4f9b\u5f00\u53d1\u548c\u8fd0\u884c\u73af\u5883\u3002\n\nSAP NetWeaver\u5b58\u5728\u8def\u5f84\u904d\u5386\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u7a0b\u5e8f\u672a\u80fd\u6b63\u786e\u5730\u8fc7\u6ee4\u8d44\u6e90\u6216\u6587\u4ef6\u8def\u5f84\u4e2d\u7684\u7279\u6b8a\u5143\u7d20\u3002\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u5bfc\u81f4\u7cfb\u7edf\u53d7\u635f\u3002",
"formalWay": "\u5382\u5546\u5df2\u53d1\u5e03\u4e86\u6f0f\u6d1e\u4fee\u590d\u7a0b\u5e8f\uff0c\u8bf7\u53ca\u65f6\u5173\u6ce8\u66f4\u65b0\uff1a\r\nhttps://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
"isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
"number": "CNVD-2023-65181",
"openTime": "2023-08-29",
"patchDescription": "SAP NetWeaver\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u5957\u9762\u5411\u670d\u52a1\u7684\u96c6\u6210\u5316\u5e94\u7528\u5e73\u53f0\u3002\u8be5\u5e73\u53f0\u4e3b\u8981\u4e3aSAP\u5e94\u7528\u7a0b\u5e8f\u63d0\u4f9b\u5f00\u53d1\u548c\u8fd0\u884c\u73af\u5883\u3002\r\n\r\nSAP NetWeaver\u5b58\u5728\u8def\u5f84\u904d\u5386\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u7a0b\u5e8f\u672a\u80fd\u6b63\u786e\u5730\u8fc7\u6ee4\u8d44\u6e90\u6216\u6587\u4ef6\u8def\u5f84\u4e2d\u7684\u7279\u6b8a\u5143\u7d20\u3002\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u5bfc\u81f4\u7cfb\u7edf\u53d7\u635f\u3002\u76ee\u524d\uff0c\u4f9b\u5e94\u5546\u53d1\u5e03\u4e86\u5b89\u5168\u516c\u544a\u53ca\u76f8\u5173\u8865\u4e01\u4fe1\u606f\uff0c\u4fee\u590d\u4e86\u6b64\u6f0f\u6d1e\u3002",
"patchName": "SAP NetWeaver\u8def\u5f84\u904d\u5386\u6f0f\u6d1e\uff08CNVD-2023-65181\uff09\u7684\u8865\u4e01",
"products": {
"product": [
"SAP SAP Netweaver 707",
"SAP SAP Netweaver 737",
"SAP SAP Netweaver 747",
"SAP SAP Netweaver 757"
]
},
"referenceLink": "https://me.sap.com/notes/3331376",
"serverity": "\u9ad8",
"submitTime": "2023-07-14",
"title": "SAP NetWeaver\u8def\u5f84\u904d\u5386\u6f0f\u6d1e\uff08CNVD-2023-65181\uff09"
}
gsd-2023-33989
Vulnerability from gsd
Modified
2023-12-13 01:20
Details
An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.
Aliases
Aliases
{
"GSD": {
"alias": "CVE-2023-33989",
"id": "GSD-2023-33989"
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2023-33989"
],
"details": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n",
"id": "GSD-2023-33989",
"modified": "2023-12-13T01:20:36.330636Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "cna@sap.com",
"ID": "CVE-2023-33989",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "SAP NetWeaver (BI CONT ADD ON)",
"version": {
"version_data": [
{
"version_affected": "=",
"version_value": "707"
},
{
"version_affected": "=",
"version_value": "737"
},
{
"version_affected": "=",
"version_value": "747"
},
{
"version_affected": "=",
"version_value": "757"
}
]
}
}
]
},
"vendor_name": "SAP_SE"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n"
}
]
},
"generator": {
"engine": "Vulnogram 0.1.0-dev"
},
"impact": {
"cvss": [
{
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.7,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "HIGH",
"scope": "CHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H",
"version": "3.1"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"cweId": "CWE-22",
"lang": "eng",
"value": "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://me.sap.com/notes/3331376",
"refsource": "MISC",
"url": "https://me.sap.com/notes/3331376"
},
{
"name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
"refsource": "MISC",
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
]
},
"source": {
"discovery": "UNKNOWN"
}
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:sap:netweaver_bi_content:737:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
},
{
"cpe23Uri": "cpe:2.3:a:sap:netweaver_bi_content:747:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
},
{
"cpe23Uri": "cpe:2.3:a:sap:netweaver_bi_content:757:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
},
{
"cpe23Uri": "cpe:2.3:a:sap:netweaver_bi_content:707:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "cna@sap.com",
"ID": "CVE-2023-33989"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-22"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://me.sap.com/notes/3331376",
"refsource": "MISC",
"tags": [
"Permissions Required"
],
"url": "https://me.sap.com/notes/3331376"
},
{
"name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
"refsource": "MISC",
"tags": [
"Vendor Advisory"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
]
}
},
"impact": {
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.1,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 5.2
}
},
"lastModifiedDate": "2023-07-19T12:53Z",
"publishedDate": "2023-07-11T03:15Z"
}
}
}
fkie_cve-2023-33989
Vulnerability from fkie_nvd
Published
2023-07-11 03:15
Modified
2024-11-21 08:06
Severity ?
8.7 (High) - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H
8.1 (High) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
8.1 (High) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Summary
An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.
References
| ▼ | URL | Tags | |
|---|---|---|---|
| cna@sap.com | https://me.sap.com/notes/3331376 | Permissions Required | |
| cna@sap.com | https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html | Vendor Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | https://me.sap.com/notes/3331376 | Permissions Required | |
| af854a3a-2127-422b-91ae-364da2661108 | https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html | Vendor Advisory |
Impacted products
| Vendor | Product | Version | |
|---|---|---|---|
| sap | netweaver_bi_content | 707 | |
| sap | netweaver_bi_content | 737 | |
| sap | netweaver_bi_content | 747 | |
| sap | netweaver_bi_content | 757 |
{
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:sap:netweaver_bi_content:707:*:*:*:*:*:*:*",
"matchCriteriaId": "BD582724-499B-448A-BCC1-308E4BF4F0E8",
"vulnerable": true
},
{
"criteria": "cpe:2.3:a:sap:netweaver_bi_content:737:*:*:*:*:*:*:*",
"matchCriteriaId": "32710905-F628-494B-BD88-30BA5DC9B995",
"vulnerable": true
},
{
"criteria": "cpe:2.3:a:sap:netweaver_bi_content:747:*:*:*:*:*:*:*",
"matchCriteriaId": "B67959BB-333F-4EC1-88BC-F4CB4B7185EF",
"vulnerable": true
},
{
"criteria": "cpe:2.3:a:sap:netweaver_bi_content:757:*:*:*:*:*:*:*",
"matchCriteriaId": "1E3ACFF9-B538-4693-939A-90426AA1DFC8",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n"
}
],
"id": "CVE-2023-33989",
"lastModified": "2024-11-21T08:06:21.703",
"metrics": {
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.7,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "HIGH",
"scope": "CHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 2.3,
"impactScore": 5.8,
"source": "cna@sap.com",
"type": "Secondary"
},
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.1,
"baseSeverity": "HIGH",
"confidentialityImpact": "NONE",
"integrityImpact": "HIGH",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 5.2,
"source": "nvd@nist.gov",
"type": "Primary"
}
]
},
"published": "2023-07-11T03:15:09.587",
"references": [
{
"source": "cna@sap.com",
"tags": [
"Permissions Required"
],
"url": "https://me.sap.com/notes/3331376"
},
{
"source": "cna@sap.com",
"tags": [
"Vendor Advisory"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Permissions Required"
],
"url": "https://me.sap.com/notes/3331376"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Vendor Advisory"
],
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"sourceIdentifier": "cna@sap.com",
"vulnStatus": "Modified",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "CWE-22"
}
],
"source": "cna@sap.com",
"type": "Primary"
}
]
}
ghsa-xhp3-g75g-8f9j
Vulnerability from github
Published
2023-07-11 03:30
Modified
2024-04-04 05:54
Severity ?
VLAI Severity ?
Details
An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.
{
"affected": [],
"aliases": [
"CVE-2023-33989"
],
"database_specific": {
"cwe_ids": [
"CWE-22"
],
"github_reviewed": false,
"github_reviewed_at": null,
"nvd_published_at": "2023-07-11T03:15:09Z",
"severity": "HIGH"
},
"details": "An attacker with non-administrative authorizations in SAP NetWeaver (BI CONT ADD ON) - versions 707, 737, 747, 757, can exploit a directory traversal flaw to over-write system files. Data from confidential files cannot be read but potentially some OS files can be over-written leading to system compromise.\n\n",
"id": "GHSA-xhp3-g75g-8f9j",
"modified": "2024-04-04T05:54:30Z",
"published": "2023-07-11T03:30:31Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2023-33989"
},
{
"type": "WEB",
"url": "https://me.sap.com/notes/3331376"
},
{
"type": "WEB",
"url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:H",
"type": "CVSS_V3"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…