Beveiligingsadviezen

SAP heeft kwetsbaarheden verholpen in SAP S/4HANA, SAP Commerce Cloud, SAP Forecasting & Replenishment, SAP NetWeaver Application Server voor ABAP, SAP Business Server Pages, SAP BusinessObjects Business Intelligence Platform, SAP Strategic Enterprise Management Scorecard Wizard, SAPUI5 Search UI, SAP Financial Consolidation, SAP Incentive and Commission Management, SAP Application Server ABAP voor SAP NetWeaver en ABAP Platform, en SAP HANA Deployment Infrastructure.

De kwetsbaarheden betreffen verschillende typen beveiligingsproblemen binnen de genoemde SAP-producten.

• In SAP S/4HANA's Enterprise Search for ABAP module kunnen geauthenticeerde aanvallers SQL-injecties uitvoeren, wat kan leiden tot ongeautoriseerde toegang tot gevoelige data en applicatiecrashes.
• SAP Commerce Cloud bevat een configuratiefout in Spring Security waardoor ongeauthenticeerde gebruikers kwaadaardige configuraties kunnen uploaden en daarmee willekeurige server-side code kunnen uitvoeren.
• In SAP Forecasting & Replenishment en SAP NetWeaver Application Server voor ABAP kunnen geauthenticeerde gebruikers met administratieve rechten OS-commando's uitvoeren, wat kan resulteren in systeemcompromittering of verstoring van de applicatie.
• SAP S/4HANA Condition Maintenance heeft een ontbrekende autorisatiecontrole waardoor geauthenticeerde gebruikers records kunnen bekijken en wijzigen zonder de juiste permissies.
• SAP Business Server Pages Application component TAF_APPLAUNCHER en SAP NetWeaver Application Server ABAP bevatten Cross-Site Scripting (XSS) kwetsbaarheden die het mogelijk maken om gebruikers te misleiden via kwaadaardige links.
• SAP BusinessObjects Business Intelligence Platform heeft een Cross Site Request Forgery (CSRF) kwetsbaarheid die geauthenticeerde gebruikers kan misleiden tot het uitvoeren van ongewenste acties.
• SAP Strategic Enterprise Management Scorecard Wizard kent een autorisatiefout waardoor geauthenticeerde gebruikers toegang krijgen tot niet-toegestane informatie en instellingen kunnen wijzigen.
• SAPUI5 Search UI is kwetsbaar voor URL-parameter manipulatie die kan leiden tot het injecteren van kwaadaardige content en gebruikers kan omleiden naar aanvallersites.
• SAP Financial Consolidation bevat een kwetsbaarheid waarmee geauthenticeerde gebruikers sessies van andere gebruikers kunnen beëindigen, wat de beschikbaarheid beïnvloedt.
• SAP Incentive and Commission Management heeft onvoldoende autorisatiecontrole waardoor geauthenticeerde gebruikers database tabellen kunnen aanpassen.
• SAP Application Server ABAP voor SAP NetWeaver en ABAP Platform bevat een code-injectie kwetsbaarheid die geauthenticeerde gebruikers kunnen misbruiken om willekeurige code uit te voeren.
• SAP HANA Deployment Infrastructure bevat een SQL-injectie kwetsbaarheid in de @sap/hdi-deploy package, waarbij gebruikers met hoge privileges dynamische SQL-query's kunnen manipuleren, wat de vertrouwelijkheid en beschikbaarheid kan beïnvloeden.

Daarnaast is er een gerelateerde kwetsbaarheid in Apache Log4j Core (versies 2.0-beta9 tot 2.25.2) met ontbrekende TLS hostname verificatie, die man-in-the-middle aanvallen mogelijk maakt en ook diverse SAP-producten en andere software beïnvloedt.

SAP heeft updates uitgebracht om de kwetsbaarheden in de genoemde producten te verhelpen. Daarnaast zijn er updates voor Apache Log4j beschikbaar (versies 2.18.0, 2.19.0 en 2.20.0) die de ontbrekende TLS hostname verificatie en andere problemen adresseren. Zie bijgevoegde referenties voor meer informatie.