cvelistv5 - cve-2024-27900

cve-2024-27900

Vulnerability from cvelistv5

Published

2024-03-12 00:44

Modified

2025-04-16 15:40

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Summary

Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.

References

URL	Tags
cna@sap.com	https://me.sap.com/notes/3419022	Permissions Required
cna@sap.com	https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3419022	Permissions Required
af854a3a-2127-422b-91ae-364da2661108	https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364	Vendor Advisory

Impacted products

	Vendor	Product	Version
	SAP_SE	SAP ABAP Platform	Version: 758 Version: 795

Show details on NVD website

JSON

To clipboard

{
   containers: {
      adp: [
         {
            metrics: [
               {
                  other: {
                     content: {
                        id: "CVE-2024-27900",
                        options: [
                           {
                              Exploitation: "none",
                           },
                           {
                              Automatable: "no",
                           },
                           {
                              "Technical Impact": "partial",
                           },
                        ],
                        role: "CISA Coordinator",
                        timestamp: "2024-03-12T17:46:21.338700Z",
                        version: "2.0.3",
                     },
                     type: "ssvc",
                  },
               },
            ],
            providerMetadata: {
               dateUpdated: "2025-04-16T15:40:05.874Z",
               orgId: "134c704f-9b21-4f2e-91b3-4a467353bcc0",
               shortName: "CISA-ADP",
            },
            title: "CISA ADP Vulnrichment",
         },
         {
            providerMetadata: {
               dateUpdated: "2024-08-02T00:41:55.483Z",
               orgId: "af854a3a-2127-422b-91ae-364da2661108",
               shortName: "CVE",
            },
            references: [
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://me.sap.com/notes/3419022",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
               },
            ],
            title: "CVE Program Container",
         },
      ],
      cna: {
         affected: [
            {
               defaultStatus: "unaffected",
               product: "SAP ABAP Platform",
               vendor: "SAP_SE",
               versions: [
                  {
                     status: "affected",
                     version: "758",
                  },
                  {
                     status: "affected",
                     version: "795",
                  },
               ],
            },
         ],
         descriptions: [
            {
               lang: "en",
               supportingMedia: [
                  {
                     base64: false,
                     type: "text/html",
                     value: "<p>Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.</p>",
                  },
               ],
               value: "Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.\n\n",
            },
         ],
         metrics: [
            {
               cvssV3_1: {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 4.3,
                  baseSeverity: "MEDIUM",
                  confidentialityImpact: "NONE",
                  integrityImpact: "LOW",
                  privilegesRequired: "LOW",
                  scope: "UNCHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
                  version: "3.1",
               },
               format: "CVSS",
               scenarios: [
                  {
                     lang: "en",
                     value: "GENERAL",
                  },
               ],
            },
         ],
         problemTypes: [
            {
               descriptions: [
                  {
                     cweId: "CWE-862",
                     description: "CWE-862: Missing Authorization",
                     lang: "eng",
                     type: "CWE",
                  },
               ],
            },
         ],
         providerMetadata: {
            dateUpdated: "2024-03-12T00:44:15.235Z",
            orgId: "e4686d1a-f260-4930-ac4c-2f5c992778dd",
            shortName: "sap",
         },
         references: [
            {
               url: "https://me.sap.com/notes/3419022",
            },
            {
               url: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
            },
         ],
         source: {
            discovery: "UNKNOWN",
         },
         title: "Missing Authorization check in SAP ABAP Platform",
         x_generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
      },
   },
   cveMetadata: {
      assignerOrgId: "e4686d1a-f260-4930-ac4c-2f5c992778dd",
      assignerShortName: "sap",
      cveId: "CVE-2024-27900",
      datePublished: "2024-03-12T00:44:15.235Z",
      dateReserved: "2024-02-27T06:26:16.787Z",
      dateUpdated: "2025-04-16T15:40:05.874Z",
      state: "PUBLISHED",
   },
   dataType: "CVE_RECORD",
   dataVersion: "5.1",
   "vulnerability-lookup:meta": {
      nvd: "{\"cve\":{\"id\":\"CVE-2024-27900\",\"sourceIdentifier\":\"cna@sap.com\",\"published\":\"2024-03-12T01:15:49.980\",\"lastModified\":\"2025-02-26T15:15:08.143\",\"vulnStatus\":\"Analyzed\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.\\n\\n\"},{\"lang\":\"es\",\"value\":\"Debido a la falta de verificación de autorización, un atacante con cuenta de usuario empresarial en SAP ABAP Platform (versión 758, 795) puede cambiar la configuración de privacidad de las plantillas de trabajo de compartida a privada. Como resultado, solo el propietario podrá acceder a la plantilla seleccionada.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N\",\"baseScore\":4.3,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.8,\"impactScore\":1.4},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N\",\"baseScore\":5.3,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":1.4}]},\"weaknesses\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-862\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:abap_platform:758:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"4E7618AC-8AF1-47E2-950E-E7433EAAEF81\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:abap_platform:795:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"201C8077-3B46-4D5B-B95A-031E148FE2AE\"}]}]}],\"references\":[{\"url\":\"https://me.sap.com/notes/3419022\",\"source\":\"cna@sap.com\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://me.sap.com/notes/3419022\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
      vulnrichment: {
         containers: "{\"cna\": {\"affected\": [{\"defaultStatus\": \"unaffected\", \"product\": \"SAP ABAP Platform\", \"vendor\": \"SAP_SE\", \"versions\": [{\"status\": \"affected\", \"version\": \"758\"}, {\"status\": \"affected\", \"version\": \"795\"}]}], \"descriptions\": [{\"lang\": \"en\", \"supportingMedia\": [{\"base64\": false, \"type\": \"text/html\", \"value\": \"<p>Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.</p>\"}], \"value\": \"Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.\\n\\n\"}], \"metrics\": [{\"cvssV3_1\": {\"attackComplexity\": \"LOW\", \"attackVector\": \"NETWORK\", \"availabilityImpact\": \"NONE\", \"baseScore\": 4.3, \"baseSeverity\": \"MEDIUM\", \"confidentialityImpact\": \"NONE\", \"integrityImpact\": \"LOW\", \"privilegesRequired\": \"LOW\", \"scope\": \"UNCHANGED\", \"userInteraction\": \"NONE\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N\", \"version\": \"3.1\"}, \"format\": \"CVSS\", \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"problemTypes\": [{\"descriptions\": [{\"cweId\": \"CWE-862\", \"description\": \"CWE-862: Missing Authorization\", \"lang\": \"eng\", \"type\": \"CWE\"}]}], \"providerMetadata\": {\"orgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"shortName\": \"sap\", \"dateUpdated\": \"2024-03-12T00:44:15.235Z\"}, \"references\": [{\"url\": \"https://me.sap.com/notes/3419022\"}, {\"url\": \"https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364\"}], \"source\": {\"discovery\": \"UNKNOWN\"}, \"title\": \"Missing Authorization check in SAP ABAP Platform\", \"x_generator\": {\"engine\": \"Vulnogram 0.1.0-dev\"}}, \"adp\": [{\"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-02T00:41:55.483Z\"}, \"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://me.sap.com/notes/3419022\", \"tags\": [\"x_transferred\"]}, {\"url\": \"https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364\", \"tags\": [\"x_transferred\"]}]}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2024-27900\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-03-12T17:46:21.338700Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-05-23T19:01:17.101Z\"}}]}",
         cveMetadata: "{\"cveId\": \"CVE-2024-27900\", \"assignerOrgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"state\": \"PUBLISHED\", \"assignerShortName\": \"sap\", \"dateReserved\": \"2024-02-27T06:26:16.787Z\", \"datePublished\": \"2024-03-12T00:44:15.235Z\", \"dateUpdated\": \"2025-04-16T15:40:05.874Z\"}",
         dataType: "CVE_RECORD",
         dataVersion: "5.1",
      },
   },
}

fkie_cve-2024-27900

Vulnerability from fkie_nvd

Published

2024-03-12 01:15

Modified

2025-02-26 16:32

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
5.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Summary

References

URL	Tags
cna@sap.com	https://me.sap.com/notes/3419022	Permissions Required
cna@sap.com	https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3419022	Permissions Required
af854a3a-2127-422b-91ae-364da2661108	https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364	Vendor Advisory

Impacted products

	Vendor	Product	Version
	sap	abap_platform	758
	sap	abap_platform	795

JSON

To clipboard

{
   configurations: [
      {
         nodes: [
            {
               cpeMatch: [
                  {
                     criteria: "cpe:2.3:a:sap:abap_platform:758:*:*:*:*:*:*:*",
                     matchCriteriaId: "4E7618AC-8AF1-47E2-950E-E7433EAAEF81",
                     vulnerable: true,
                  },
                  {
                     criteria: "cpe:2.3:a:sap:abap_platform:795:*:*:*:*:*:*:*",
                     matchCriteriaId: "201C8077-3B46-4D5B-B95A-031E148FE2AE",
                     vulnerable: true,
                  },
               ],
               negate: false,
               operator: "OR",
            },
         ],
      },
   ],
   cveTags: [],
   descriptions: [
      {
         lang: "en",
         value: "Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.\n\n",
      },
      {
         lang: "es",
         value: "Debido a la falta de verificación de autorización, un atacante con cuenta de usuario empresarial en SAP ABAP Platform (versión 758, 795) puede cambiar la configuración de privacidad de las plantillas de trabajo de compartida a privada. Como resultado, solo el propietario podrá acceder a la plantilla seleccionada.",
      },
   ],
   id: "CVE-2024-27900",
   lastModified: "2025-02-26T16:32:47.043",
   metrics: {
      cvssMetricV31: [
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "NONE",
               baseScore: 4.3,
               baseSeverity: "MEDIUM",
               confidentialityImpact: "NONE",
               integrityImpact: "LOW",
               privilegesRequired: "LOW",
               scope: "UNCHANGED",
               userInteraction: "NONE",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
               version: "3.1",
            },
            exploitabilityScore: 2.8,
            impactScore: 1.4,
            source: "cna@sap.com",
            type: "Secondary",
         },
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "NONE",
               baseScore: 5.3,
               baseSeverity: "MEDIUM",
               confidentialityImpact: "NONE",
               integrityImpact: "LOW",
               privilegesRequired: "NONE",
               scope: "UNCHANGED",
               userInteraction: "NONE",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N",
               version: "3.1",
            },
            exploitabilityScore: 3.9,
            impactScore: 1.4,
            source: "nvd@nist.gov",
            type: "Primary",
         },
      ],
   },
   published: "2024-03-12T01:15:49.980",
   references: [
      {
         source: "cna@sap.com",
         tags: [
            "Permissions Required",
         ],
         url: "https://me.sap.com/notes/3419022",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Permissions Required",
         ],
         url: "https://me.sap.com/notes/3419022",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
      },
   ],
   sourceIdentifier: "cna@sap.com",
   vulnStatus: "Analyzed",
   weaknesses: [
      {
         description: [
            {
               lang: "en",
               value: "CWE-862",
            },
         ],
         source: "cna@sap.com",
         type: "Primary",
      },
   ],
}

gsd-2024-27900

Vulnerability from gsd

Modified

2024-02-28 06:02

Details

Aliases

CVE-2024-27900

JSON

To clipboard

{
   gsd: {
      metadata: {
         exploitCode: "unknown",
         remediation: "unknown",
         reportConfidence: "confirmed",
         type: "vulnerability",
      },
      osvSchema: {
         aliases: [
            "CVE-2024-27900",
         ],
         details: "Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.\n\n",
         id: "GSD-2024-27900",
         modified: "2024-02-28T06:02:30.958018Z",
         schema_version: "1.4.0",
      },
   },
   namespaces: {
      "cve.org": {
         CVE_data_meta: {
            ASSIGNER: "cna@sap.com",
            ID: "CVE-2024-27900",
            STATE: "PUBLIC",
         },
         affects: {
            vendor: {
               vendor_data: [
                  {
                     product: {
                        product_data: [
                           {
                              product_name: "SAP ABAP Platform",
                              version: {
                                 version_data: [
                                    {
                                       version_affected: "=",
                                       version_value: "758",
                                    },
                                    {
                                       version_affected: "=",
                                       version_value: "795",
                                    },
                                 ],
                              },
                           },
                        ],
                     },
                     vendor_name: "SAP_SE",
                  },
               ],
            },
         },
         data_format: "MITRE",
         data_type: "CVE",
         data_version: "4.0",
         description: {
            description_data: [
               {
                  lang: "eng",
                  value: "Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.\n\n",
               },
            ],
         },
         generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
         impact: {
            cvss: [
               {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 4.3,
                  baseSeverity: "MEDIUM",
                  confidentialityImpact: "NONE",
                  integrityImpact: "LOW",
                  privilegesRequired: "LOW",
                  scope: "UNCHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
                  version: "3.1",
               },
            ],
         },
         problemtype: {
            problemtype_data: [
               {
                  description: [
                     {
                        cweId: "CWE-862",
                        lang: "eng",
                        value: "CWE-862: Missing Authorization",
                     },
                  ],
               },
            ],
         },
         references: {
            reference_data: [
               {
                  name: "https://me.sap.com/notes/3419022",
                  refsource: "MISC",
                  url: "https://me.sap.com/notes/3419022",
               },
               {
                  name: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
                  refsource: "MISC",
                  url: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
               },
            ],
         },
         source: {
            discovery: "UNKNOWN",
         },
      },
      "nvd.nist.gov": {
         cve: {
            descriptions: [
               {
                  lang: "en",
                  value: "Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.\n\n",
               },
               {
                  lang: "es",
                  value: "Debido a la falta de verificación de autorización, un atacante con cuenta de usuario empresarial en SAP ABAP Platform (versión 758, 795) puede cambiar la configuración de privacidad de las plantillas de trabajo de compartida a privada. Como resultado, solo el propietario podrá acceder a la plantilla seleccionada.",
               },
            ],
            id: "CVE-2024-27900",
            lastModified: "2024-03-12T12:40:13.500",
            metrics: {
               cvssMetricV31: [
                  {
                     cvssData: {
                        attackComplexity: "LOW",
                        attackVector: "NETWORK",
                        availabilityImpact: "NONE",
                        baseScore: 4.3,
                        baseSeverity: "MEDIUM",
                        confidentialityImpact: "NONE",
                        integrityImpact: "LOW",
                        privilegesRequired: "LOW",
                        scope: "UNCHANGED",
                        userInteraction: "NONE",
                        vectorString: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
                        version: "3.1",
                     },
                     exploitabilityScore: 2.8,
                     impactScore: 1.4,
                     source: "cna@sap.com",
                     type: "Secondary",
                  },
               ],
            },
            published: "2024-03-12T01:15:49.980",
            references: [
               {
                  source: "cna@sap.com",
                  url: "https://me.sap.com/notes/3419022",
               },
               {
                  source: "cna@sap.com",
                  url: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
               },
            ],
            sourceIdentifier: "cna@sap.com",
            vulnStatus: "Awaiting Analysis",
            weaknesses: [
               {
                  description: [
                     {
                        lang: "en",
                        value: "CWE-862",
                     },
                  ],
                  source: "cna@sap.com",
                  type: "Primary",
               },
            ],
         },
      },
   },
}

WID-SEC-W-2024-0597

Vulnerability from csaf_certbund

Published

2024-03-11 23:00

Modified

2024-03-11 23:00

Summary

SAP Security Patch Day – März 2024

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Betroffene Betriebssysteme

- Linux - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder Cross-Site-Scripting (XSS)-Angriffe durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- Linux\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2024-0597 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0597.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2024-0597 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0597",
         },
         {
            category: "external",
            summary: "SAP Security Patch Day vom 2024-03-11",
            url: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2024.html",
         },
      ],
      source_lang: "en-US",
      title: "SAP Security Patch Day – März 2024",
      tracking: {
         current_release_date: "2024-03-11T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T18:06:19.294+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2024-0597",
         initial_release_date: "2024-03-11T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2024-03-11T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T033370",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2024-28163",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-28163",
      },
      {
         cve: "CVE-2024-27902",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-27902",
      },
      {
         cve: "CVE-2024-27900",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-27900",
      },
      {
         cve: "CVE-2024-25645",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-25645",
      },
      {
         cve: "CVE-2024-25644",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-25644",
      },
      {
         cve: "CVE-2024-22133",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-22133",
      },
      {
         cve: "CVE-2024-22127",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-22127",
      },
      {
         cve: "CVE-2023-50164",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2023-50164",
      },
      {
         cve: "CVE-2023-44487",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2023-44487",
      },
      {
         cve: "CVE-2023-39439",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2023-39439",
      },
      {
         cve: "CVE-2019-10744",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2019-10744",
      },
   ],
}

wid-sec-w-2024-0597

Vulnerability from csaf_certbund

Published

2024-03-11 23:00

Modified

2024-03-11 23:00

Summary

SAP Security Patch Day – März 2024

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Betroffene Betriebssysteme

- Linux - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder Cross-Site-Scripting (XSS)-Angriffe durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- Linux\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2024-0597 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0597.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2024-0597 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0597",
         },
         {
            category: "external",
            summary: "SAP Security Patch Day vom 2024-03-11",
            url: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2024.html",
         },
      ],
      source_lang: "en-US",
      title: "SAP Security Patch Day – März 2024",
      tracking: {
         current_release_date: "2024-03-11T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T18:06:19.294+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2024-0597",
         initial_release_date: "2024-03-11T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2024-03-11T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T033370",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2024-28163",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-28163",
      },
      {
         cve: "CVE-2024-27902",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-27902",
      },
      {
         cve: "CVE-2024-27900",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-27900",
      },
      {
         cve: "CVE-2024-25645",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-25645",
      },
      {
         cve: "CVE-2024-25644",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-25644",
      },
      {
         cve: "CVE-2024-22133",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-22133",
      },
      {
         cve: "CVE-2024-22127",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2024-22127",
      },
      {
         cve: "CVE-2023-50164",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2023-50164",
      },
      {
         cve: "CVE-2023-44487",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2023-44487",
      },
      {
         cve: "CVE-2023-39439",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2023-39439",
      },
      {
         cve: "CVE-2019-10744",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden.",
            },
         ],
         product_status: {
            known_affected: [
               "T033370",
            ],
         },
         release_date: "2024-03-11T23:00:00.000+00:00",
         title: "CVE-2019-10744",
      },
   ],
}

ghsa-r7v7-m4x6-4rxm

Vulnerability from github

Published

2024-03-12 03:30

Modified

2024-03-12 03:30

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Details

Show details on source website

JSON

To clipboard

{
   affected: [],
   aliases: [
      "CVE-2024-27900",
   ],
   database_specific: {
      cwe_ids: [
         "CWE-862",
      ],
      github_reviewed: false,
      github_reviewed_at: null,
      nvd_published_at: "2024-03-12T01:15:49Z",
      severity: "MODERATE",
   },
   details: "Due to missing authorization check, attacker with business user account in SAP ABAP Platform - version 758, 795, can change the privacy setting of job templates from shared to private. As a result, the selected template would only be accessible to the owner.\n\n",
   id: "GHSA-r7v7-m4x6-4rxm",
   modified: "2024-03-12T03:30:47Z",
   published: "2024-03-12T03:30:47Z",
   references: [
      {
         type: "ADVISORY",
         url: "https://nvd.nist.gov/vuln/detail/CVE-2024-27900",
      },
      {
         type: "WEB",
         url: "https://me.sap.com/notes/3419022",
      },
      {
         type: "WEB",
         url: "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
      },
   ],
   schema_version: "1.4.0",
   severity: [
      {
         score: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
         type: "CVSS_V3",
      },
   ],
}

All sightings related to this event Export sightings related to this event

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

cve-2024-27900

Vulnerability from cvelistv5

fkie_cve-2024-27900

Vulnerability from fkie_nvd

gsd-2024-27900

Vulnerability from gsd

WID-SEC-W-2024-0597

Vulnerability from csaf_certbund

wid-sec-w-2024-0597

Vulnerability from csaf_certbund

ghsa-r7v7-m4x6-4rxm

Vulnerability from github

Tags

Sightings

Nomenclature