{
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "The application allows a high privilege attacker to append a malicious GET query parameter to Service invocations, which are reflected in the server response. Under certain circumstances, if the parameter contains a JavaScript, the script could be processed on client side.\n\n"
    },
    {
      "lang": "es",
      "value": "La aplicaci\u00f3n permite que un atacante con privilegios elevados agregue un par\u00e1metro de consulta GET malicioso a las invocaciones del Servicio, que se reflejan en la respuesta del servidor. En determinadas circunstancias, si el par\u00e1metro contiene JavaScript, el script podr\u00eda procesarse en el lado del cliente."
    }
  ],
  "id": "CVE-2024-30214",
  "lastModified": "2024-11-21T09:11:27.673",
  "metrics": {
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 4.8,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "LOW",
          "integrityImpact": "LOW",
          "privilegesRequired": "HIGH",
          "scope": "CHANGED",
          "userInteraction": "REQUIRED",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 1.7,
        "impactScore": 2.7,
        "source": "cna@sap.com",
        "type": "Secondary"
      }
    ]
  },
  "published": "2024-04-09T01:15:49.750",
  "references": [
    {
      "source": "cna@sap.com",
      "url": "https://me.sap.com/notes/3421453"
    },
    {
      "source": "cna@sap.com",
      "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "url": "https://me.sap.com/notes/3421453"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
    }
  ],
  "sourceIdentifier": "cna@sap.com",
  "vulnStatus": "Awaiting Analysis",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-79"
        }
      ],
      "source": "cna@sap.com",
      "type": "Secondary"
    }
  ]
}

{
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2024-30214"
      ],
      "details": "The application allows a high privilege attacker to append a malicious GET query parameter to Service invocations, which are reflected in the server response. Under certain circumstances, if the parameter contains a JavaScript, the script could be processed on client side.\n\n",
      "id": "GSD-2024-30214",
      "modified": "2024-04-03T05:02:29.250298Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "cna@sap.com",
        "ID": "CVE-2024-30214",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "SAP Business Connector",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "4.8"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "SAP_SE"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "The application allows a high privilege attacker to append a malicious GET query parameter to Service invocations, which are reflected in the server response. Under certain circumstances, if the parameter contains a JavaScript, the script could be processed on client side.\n\n"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 4.8,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "LOW",
            "integrityImpact": "LOW",
            "privilegesRequired": "HIGH",
            "scope": "CHANGED",
            "userInteraction": "REQUIRED",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-79",
                "lang": "eng",
                "value": "CWE-79: Improper Neutralization of Input During Web Page Generation (\u0027Cross-site Scripting\u0027)"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://me.sap.com/notes/3421453",
            "refsource": "MISC",
            "url": "https://me.sap.com/notes/3421453"
          },
          {
            "name": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364",
            "refsource": "MISC",
            "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "descriptions": [
          {
            "lang": "en",
            "value": "The application allows a high privilege attacker to append a malicious GET query parameter to Service invocations, which are reflected in the server response. Under certain circumstances, if the parameter contains a JavaScript, the script could be processed on client side.\n\n"
          },
          {
            "lang": "es",
            "value": "La aplicaci\u00f3n permite que un atacante con privilegios elevados agregue un par\u00e1metro de consulta GET malicioso a las invocaciones del Servicio, que se reflejan en la respuesta del servidor. En determinadas circunstancias, si el par\u00e1metro contiene JavaScript, el script podr\u00eda procesarse en el lado del cliente."
          }
        ],
        "id": "CVE-2024-30214",
        "lastModified": "2024-04-09T12:48:04.090",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 4.8,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "LOW",
                "integrityImpact": "LOW",
                "privilegesRequired": "HIGH",
                "scope": "CHANGED",
                "userInteraction": "REQUIRED",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 1.7,
              "impactScore": 2.7,
              "source": "cna@sap.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2024-04-09T01:15:49.750",
        "references": [
          {
            "source": "cna@sap.com",
            "url": "https://me.sap.com/notes/3421453"
          },
          {
            "source": "cna@sap.com",
            "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
          }
        ],
        "sourceIdentifier": "cna@sap.com",
        "vulnStatus": "Awaiting Analysis",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-79"
              }
            ],
            "source": "cna@sap.com",
            "type": "Primary"
          }
        ]
      }
    }
  }
}

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Business Connector version 4.8 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "S/4 HANA (Manage Catalog Items and Cross-Catalog search) versions S4CORE 103, S4CORE 104, S4CORE 105 et S4CORE 106 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "NetWeaver version 7.50 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "NetWeaver AS ABAP and ABAP Platform versions KRNL64NUC 7.22, KRNL64NUC 7.22EXT, KRNL64UC 7.22, KRNL64UC 7.22EXT, KRNL64UC 7.53, KERNEL 7.22, KERNEL 7.53, KERNEL 7.77, KERNEL 7.85, KERNEL 7.89, KERNEL 7.54 et KERNEL 7.93 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "S/4 HANA (Cash Management) versions S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107 et S4CORE 108 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "Employee Self Service (Fiori My Leave Request) version 605 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "NetWeaver AS Java User Management Engine versions SERVERCORE 7.50, J2EE-APPS 7.50 et UMEADMIN 7.50 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "Group Reporting Data Collection (Enter Package Data) versions S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107, S4CORE 108 et SAP_GRDC_CLOUD 1.0.0 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "BusinessObjects Web Intelligence versions 4.2 et 4.3 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "Edge Integration Cell versions ant\u00e9rieures \u00e0 8.13.5",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    },
    {
      "description": "Asset Accounting versions SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_APPL 600, SAP_FIN617, SAP_FIN 618 et SAP_FIN700 sans le dernier correctif de s\u00e9curit\u00e9",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "SAP",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2024-30216",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30216"
    },
    {
      "name": "CVE-2024-30214",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30214"
    },
    {
      "name": "CVE-2024-28167",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-28167"
    },
    {
      "name": "CVE-2024-30218",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30218"
    },
    {
      "name": "CVE-2024-30217",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30217"
    },
    {
      "name": "CVE-2024-27898",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-27898"
    },
    {
      "name": "CVE-2024-27899",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-27899"
    },
    {
      "name": "CVE-2024-30215",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-30215"
    },
    {
      "name": "CVE-2022-29613",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-29613"
    },
    {
      "name": "CVE-2024-25646",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-25646"
    },
    {
      "name": "CVE-2024-27901",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-27901"
    }
  ],
  "initial_release_date": "2024-04-09T00:00:00",
  "last_revision_date": "2024-04-12T00:00:00",
  "links": [],
  "reference": "CERTFR-2024-AVI-0283",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-04-09T00:00:00.000000"
    },
    {
      "description": "Ajout de la vuln\u00e9rabilit\u00e9 CVE-2022-29613",
      "revision_date": "2024-04-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Injection de code indirecte \u00e0 distance (XSS)"
    },
    {
      "description": "Non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans \u003cspan\nclass=\"textit\"\u003eles produits SAP\u003c/span\u003e. Certaines d\u0027entre elles\npermettent \u00e0 un attaquant de provoquer un d\u00e9ni de service \u00e0 distance,\nune atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es et une injection de code\nindirecte \u00e0 distance (XSS).\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans les produits SAP",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 SAP du 09 avril 2024",
      "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html"
    }
  ]
}

{
  "affected": [],
  "aliases": [
    "CVE-2024-30214"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-79"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-04-09T01:15:49Z",
    "severity": "MODERATE"
  },
  "details": "The application allows a high privilege attacker to append a malicious GET query parameter to Service invocations, which are reflected in the server response. Under certain circumstances, if the parameter contains a JavaScript, the script could be processed on client side.\n\n",
  "id": "GHSA-4fhw-468x-g9rx",
  "modified": "2024-04-09T03:30:53Z",
  "published": "2024-04-09T03:30:53Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-30214"
    },
    {
      "type": "WEB",
      "url": "https://me.sap.com/notes/3421453"
    },
    {
      "type": "WEB",
      "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N",
      "type": "CVSS_V3"
    }
  ]
}

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein anonymer oder authentifizierter Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- Sonstiges\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0811 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0811.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0811 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0811"
      },
      {
        "category": "external",
        "summary": "SAP Security Patch Day \u2013 April 2024 vom 2024-04-08",
        "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patch Day April 2024: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-04-08T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:07:23.878+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0811",
      "initial_release_date": "2024-04-08T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-04-08T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T033957",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2022-29613",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2022-29613"
    },
    {
      "cve": "CVE-2023-40306",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2023-40306"
    },
    {
      "cve": "CVE-2024-25646",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-25646"
    },
    {
      "cve": "CVE-2024-27898",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27898"
    },
    {
      "cve": "CVE-2024-27899",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27899"
    },
    {
      "cve": "CVE-2024-27901",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27901"
    },
    {
      "cve": "CVE-2024-28167",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-28167"
    },
    {
      "cve": "CVE-2024-30214",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30214"
    },
    {
      "cve": "CVE-2024-30215",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30215"
    },
    {
      "cve": "CVE-2024-30216",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30216"
    },
    {
      "cve": "CVE-2024-30217",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30217"
    },
    {
      "cve": "CVE-2024-30218",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30218"
    }
  ]
}

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein anonymer oder authentifizierter Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- Sonstiges\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0811 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0811.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0811 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0811"
      },
      {
        "category": "external",
        "summary": "SAP Security Patch Day \u2013 April 2024 vom 2024-04-08",
        "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patch Day April 2024: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-04-08T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:07:23.878+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0811",
      "initial_release_date": "2024-04-08T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-04-08T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T033957",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2022-29613",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2022-29613"
    },
    {
      "cve": "CVE-2023-40306",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2023-40306"
    },
    {
      "cve": "CVE-2024-25646",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-25646"
    },
    {
      "cve": "CVE-2024-27898",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27898"
    },
    {
      "cve": "CVE-2024-27899",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27899"
    },
    {
      "cve": "CVE-2024-27901",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-27901"
    },
    {
      "cve": "CVE-2024-28167",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-28167"
    },
    {
      "cve": "CVE-2024-30214",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30214"
    },
    {
      "cve": "CVE-2024-30215",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30215"
    },
    {
      "cve": "CVE-2024-30216",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30216"
    },
    {
      "cve": "CVE-2024-30217",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30217"
    },
    {
      "cve": "CVE-2024-30218",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in der NetWeaver AS Java User Management Engine, der BusinessObjects Web Intelligence, der Anlagenbuchhaltung, der Edge Integration Cell, dem NetWeaver AS ABAP und der ABAP-Plattform, der Group Reporting Data Collection (Paketdaten eingeben), dem Employee Self Service, dem S/4HANA, den Business Connector Plugins und Komponenten aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Berechtigungspr\u00fcfung, einer unzureichenden Eingabevalidierung oder einer unzureichenden URL-Validierung und anderen. Ein anonymer oder authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T033957"
        ]
      },
      "release_date": "2024-04-08T22:00:00.000+00:00",
      "title": "CVE-2024-30218"
    }
  ]
}

{
  "cves": {
    "cve": {
      "cveNumber": "CVE-2024-30214",
      "cveUrl": "https://nvd.nist.gov/vuln/detail/CVE-2024-30214"
    }
  },
  "description": "SAP Business Connector\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u79cd\u4e2d\u95f4\u4ef6\u3002\n\nSAP Business Connector 4.8\u7248\u672c\u5b58\u5728\u8de8\u7ad9\u811a\u672c\u6f0f\u6d1e\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u5411\u670d\u52a1\u8c03\u7528\u4e2d\u6dfb\u52a0\u6076\u610f\u7684GET\u67e5\u8be2\u53c2\u6570\uff0c\u4ece\u800c\u8fdb\u884c\u8fdb\u884c\u53cd\u5c04\u578b\u8de8\u7ad9\u811a\u672c\u653b\u51fb\u3002",
  "formalWay": "\u76ee\u524d\u5382\u5546\u5df2\u53d1\u5e03\u5347\u7ea7\u8865\u4e01\u4ee5\u4fee\u590d\u6f0f\u6d1e\uff0c\u8be6\u60c5\u8bf7\u5173\u6ce8\u5382\u5546\u4e3b\u9875\uff1a\r\nhttps://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2024.html",
  "isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
  "number": "CNVD-2024-20439",
  "openTime": "2024-04-28",
  "patchDescription": "SAP Business Connector\u662f\u5fb7\u56fd\u601d\u7231\u666e\uff08SAP\uff09\u516c\u53f8\u7684\u4e00\u79cd\u4e2d\u95f4\u4ef6\u3002\r\n\r\nSAP Business Connector 4.8\u7248\u672c\u5b58\u5728\u8de8\u7ad9\u811a\u672c\u6f0f\u6d1e\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u8be5\u6f0f\u6d1e\u5411\u670d\u52a1\u8c03\u7528\u4e2d\u6dfb\u52a0\u6076\u610f\u7684GET\u67e5\u8be2\u53c2\u6570\uff0c\u4ece\u800c\u8fdb\u884c\u8fdb\u884c\u53cd\u5c04\u578b\u8de8\u7ad9\u811a\u672c\u653b\u51fb\u3002\u76ee\u524d\uff0c\u4f9b\u5e94\u5546\u53d1\u5e03\u4e86\u5b89\u5168\u516c\u544a\u53ca\u76f8\u5173\u8865\u4e01\u4fe1\u606f\uff0c\u4fee\u590d\u4e86\u6b64\u6f0f\u6d1e\u3002",
  "patchName": "SAP Business Connector\u8de8\u7ad9\u811a\u672c\u6f0f\u6d1e\uff08CNVD-2024-20439\uff09\u7684\u8865\u4e01",
  "products": {
    "product": "SAP Business Connector 4.8"
  },
  "referenceLink": "https://me.sap.com/notes/3421453\r\nhttps://support.sap.com/en/my-support/knowledge-base/security-notes-news.html?anchorId=section_370125364\r\nhttps://cxsecurity.com/cveshow/CVE-2024-30214/",
  "serverity": "\u4e2d",
  "submitTime": "2024-04-12",
  "title": "SAP Business Connector\u8de8\u7ad9\u811a\u672c\u6f0f\u6d1e\uff08CNVD-2024-20439\uff09"
}