cvelistv5 - cve-2022-41267

cve-2022-41267

Vulnerability from cvelistv5

Published

2022-12-13 02:39

Modified

2024-08-03 12:42

Severity ?

9.9 (Critical) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

EPSS score ?

0.20% (0.39154)

Summary

SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.

References

URL	Tags
cna@sap.com	https://launchpad.support.sap.com/#/notes/3239475	Permissions Required, Vendor Advisory
cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://launchpad.support.sap.com/#/notes/3239475	Permissions Required, Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

Impacted products

	Vendor	Product	Version
	SAP	BusinessObjects Business Intelligence Platform	Version: 420 Version: 430

Show details on NVD website

JSON

To clipboard

{
   containers: {
      adp: [
         {
            providerMetadata: {
               dateUpdated: "2024-08-03T12:42:44.072Z",
               orgId: "af854a3a-2127-422b-91ae-364da2661108",
               shortName: "CVE",
            },
            references: [
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://launchpad.support.sap.com/#/notes/3239475",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
               },
            ],
            title: "CVE Program Container",
         },
      ],
      cna: {
         affected: [
            {
               defaultStatus: "unaffected",
               product: "BusinessObjects Business Intelligence Platform",
               vendor: "SAP",
               versions: [
                  {
                     status: "affected",
                     version: "420",
                  },
                  {
                     status: "affected",
                     version: "430",
                  },
               ],
            },
         ],
         descriptions: [
            {
               lang: "en",
               supportingMedia: [
                  {
                     base64: false,
                     type: "text/html",
                     value: "SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.",
                  },
               ],
               value: "SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.",
            },
         ],
         metrics: [
            {
               cvssV3_1: {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "HIGH",
                  baseScore: 9.9,
                  baseSeverity: "CRITICAL",
                  confidentialityImpact: "HIGH",
                  integrityImpact: "HIGH",
                  privilegesRequired: "LOW",
                  scope: "CHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H",
                  version: "3.1",
               },
               format: "CVSS",
               scenarios: [
                  {
                     lang: "en",
                     value: "GENERAL",
                  },
               ],
            },
         ],
         problemTypes: [
            {
               descriptions: [
                  {
                     cweId: "CWE-434",
                     description: "CWE-434 Unrestricted Upload of File with Dangerous Type",
                     lang: "en",
                     type: "CWE",
                  },
               ],
            },
         ],
         providerMetadata: {
            dateUpdated: "2022-12-13T02:39:12.109Z",
            orgId: "e4686d1a-f260-4930-ac4c-2f5c992778dd",
            shortName: "sap",
         },
         references: [
            {
               url: "https://launchpad.support.sap.com/#/notes/3239475",
            },
            {
               url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
            },
         ],
         source: {
            discovery: "UNKNOWN",
         },
         x_generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
      },
   },
   cveMetadata: {
      assignerOrgId: "e4686d1a-f260-4930-ac4c-2f5c992778dd",
      assignerShortName: "sap",
      cveId: "CVE-2022-41267",
      datePublished: "2022-12-13T02:39:12.109Z",
      dateReserved: "2022-09-21T16:20:14.949Z",
      dateUpdated: "2024-08-03T12:42:44.072Z",
      requesterUserId: "048f1e0a-8756-40de-bd1f-51292c7183c7",
      state: "PUBLISHED",
   },
   dataType: "CVE_RECORD",
   dataVersion: "5.1",
   "vulnerability-lookup:meta": {
      fkie_nvd: {
         configurations: "[{\"nodes\": [{\"operator\": \"OR\", \"negate\": false, \"cpeMatch\": [{\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:sap:business_objects_business_intelligence_platform:420:*:*:*:*:*:*:*\", \"matchCriteriaId\": \"1F7F8064-45BC-4A01-897A-0A2893BBBEC0\"}, {\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:sap:business_objects_business_intelligence_platform:430:*:*:*:*:*:*:*\", \"matchCriteriaId\": \"6EB0EFA3-8AD2-42F2-86E1-A62ECF8340E3\"}]}]}]",
         descriptions: "[{\"lang\": \"en\", \"value\": \"SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.\"}, {\"lang\": \"es\", \"value\": \"SAP Business Objects Platform: versiones 420 y 430, permite a un atacante con privilegios de usuario de BI normal cargar/reemplazar cualquier archivo en el servidor de Business Objects a nivel del sistema operativo, lo que le permite al atacante tomar control total del sistema y causar un alto impacto en confidencialidad, integridad y disponibilidad de la solicitud.\"}]",
         id: "CVE-2022-41267",
         lastModified: "2024-11-21T07:22:56.897",
         metrics: "{\"cvssMetricV31\": [{\"source\": \"cna@sap.com\", \"type\": \"Secondary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H\", \"baseScore\": 9.9, \"baseSeverity\": \"CRITICAL\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"LOW\", \"userInteraction\": \"NONE\", \"scope\": \"CHANGED\", \"confidentialityImpact\": \"HIGH\", \"integrityImpact\": \"HIGH\", \"availabilityImpact\": \"HIGH\"}, \"exploitabilityScore\": 3.1, \"impactScore\": 6.0}, {\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H\", \"baseScore\": 8.8, \"baseSeverity\": \"HIGH\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"LOW\", \"userInteraction\": \"NONE\", \"scope\": \"UNCHANGED\", \"confidentialityImpact\": \"HIGH\", \"integrityImpact\": \"HIGH\", \"availabilityImpact\": \"HIGH\"}, \"exploitabilityScore\": 2.8, \"impactScore\": 5.9}]}",
         published: "2022-12-13T03:15:09.583",
         references: "[{\"url\": \"https://launchpad.support.sap.com/#/notes/3239475\", \"source\": \"cna@sap.com\", \"tags\": [\"Permissions Required\", \"Vendor Advisory\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"source\": \"cna@sap.com\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"https://launchpad.support.sap.com/#/notes/3239475\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Permissions Required\", \"Vendor Advisory\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Vendor Advisory\"]}]",
         sourceIdentifier: "cna@sap.com",
         vulnStatus: "Modified",
         weaknesses: "[{\"source\": \"cna@sap.com\", \"type\": \"Secondary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-434\"}]}, {\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-434\"}]}]",
      },
      nvd: "{\"cve\":{\"id\":\"CVE-2022-41267\",\"sourceIdentifier\":\"cna@sap.com\",\"published\":\"2022-12-13T03:15:09.583\",\"lastModified\":\"2024-11-21T07:22:56.897\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.\"},{\"lang\":\"es\",\"value\":\"SAP Business Objects Platform: versiones 420 y 430, permite a un atacante con privilegios de usuario de BI normal cargar/reemplazar cualquier archivo en el servidor de Business Objects a nivel del sistema operativo, lo que le permite al atacante tomar control total del sistema y causar un alto impacto en confidencialidad, integridad y disponibilidad de la solicitud.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H\",\"baseScore\":9.9,\"baseSeverity\":\"CRITICAL\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"NONE\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":3.1,\"impactScore\":6.0},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H\",\"baseScore\":8.8,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":2.8,\"impactScore\":5.9}]},\"weaknesses\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-434\"}]},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-434\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:business_objects_business_intelligence_platform:420:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"1F7F8064-45BC-4A01-897A-0A2893BBBEC0\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:business_objects_business_intelligence_platform:430:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"6EB0EFA3-8AD2-42F2-86E1-A62ECF8340E3\"}]}]}],\"references\":[{\"url\":\"https://launchpad.support.sap.com/#/notes/3239475\",\"source\":\"cna@sap.com\",\"tags\":[\"Permissions Required\",\"Vendor Advisory\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://launchpad.support.sap.com/#/notes/3239475\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Permissions Required\",\"Vendor Advisory\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
   },
}

ghsa-8v36-8jq8-23wc

Vulnerability from github

Published

2022-12-13 03:30

Modified

2022-12-15 18:30

Severity ?

8.8 (High) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Details

Show details on source website

JSON

To clipboard

{
   affected: [],
   aliases: [
      "CVE-2022-41267",
   ],
   database_specific: {
      cwe_ids: [
         "CWE-434",
      ],
      github_reviewed: false,
      github_reviewed_at: null,
      nvd_published_at: "2022-12-13T03:15:00Z",
      severity: "HIGH",
   },
   details: "SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.",
   id: "GHSA-8v36-8jq8-23wc",
   modified: "2022-12-15T18:30:25Z",
   published: "2022-12-13T03:30:44Z",
   references: [
      {
         type: "ADVISORY",
         url: "https://nvd.nist.gov/vuln/detail/CVE-2022-41267",
      },
      {
         type: "WEB",
         url: "https://launchpad.support.sap.com/#/notes/3239475",
      },
      {
         type: "WEB",
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
   ],
   schema_version: "1.4.0",
   severity: [
      {
         score: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
         type: "CVSS_V3",
      },
   ],
}

WID-SEC-W-2022-2290

Vulnerability from csaf_certbund

Published

2022-12-12 23:00

Modified

2023-05-31 22:00

Summary

SAP Patchday Dezember 2022

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um seine Privilegien zu erhöhen, beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen und einen Cross-Site-Scripting-Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - MacOS X - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um seine Privilegien zu erhöhen, beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen und einen Cross-Site-Scripting-Angriff durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2022-2290 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-2290.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2022-2290 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-2290",
         },
         {
            category: "external",
            summary: "SAP Patchday December 2022 vom 2022-12-12",
            url: "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10",
         },
      ],
      source_lang: "en-US",
      title: "SAP Patchday Dezember 2022",
      tracking: {
         current_release_date: "2023-05-31T22:00:00.000+00:00",
         generator: {
            date: "2024-08-15T17:39:42.216+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2022-2290",
         initial_release_date: "2022-12-12T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2022-12-12T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
            {
               date: "2023-05-31T22:00:00.000+00:00",
               number: "2",
               summary: "CVE Nummern ergänzt",
            },
         ],
         status: "final",
         version: "2",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T016476",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2022-42889",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-42889",
      },
      {
         cve: "CVE-2022-41275",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41275",
      },
      {
         cve: "CVE-2022-41274",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41274",
      },
      {
         cve: "CVE-2022-41273",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41273",
      },
      {
         cve: "CVE-2022-41272",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41272",
      },
      {
         cve: "CVE-2022-41271",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41271",
      },
      {
         cve: "CVE-2022-41268",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41268",
      },
      {
         cve: "CVE-2022-41267",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41267",
      },
      {
         cve: "CVE-2022-41266",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41266",
      },
      {
         cve: "CVE-2022-41264",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41264",
      },
      {
         cve: "CVE-2022-41263",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41263",
      },
      {
         cve: "CVE-2022-41262",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41262",
      },
      {
         cve: "CVE-2022-41261",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41261",
      },
      {
         cve: "CVE-2022-41215",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41215",
      },
      {
         cve: "CVE-2022-39013",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-39013",
      },
      {
         cve: "CVE-2022-35737",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-35737",
      },
      {
         cve: "CVE-2022-35299",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-35299",
      },
      {
         cve: "CVE-2022-32240",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-32240",
      },
      {
         cve: "CVE-2022-32235",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-32235",
      },
      {
         cve: "CVE-2020-6215",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2020-6215",
      },
   ],
}

wid-sec-w-2022-2290

Vulnerability from csaf_certbund

Published

2022-12-12 23:00

Modified

2023-05-31 22:00

Summary

SAP Patchday Dezember 2022

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Betroffene Betriebssysteme

- UNIX - Linux - MacOS X - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um seine Privilegien zu erhöhen, beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen und einen Cross-Site-Scripting-Angriff durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2022-2290 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-2290.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2022-2290 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-2290",
         },
         {
            category: "external",
            summary: "SAP Patchday December 2022 vom 2022-12-12",
            url: "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10",
         },
      ],
      source_lang: "en-US",
      title: "SAP Patchday Dezember 2022",
      tracking: {
         current_release_date: "2023-05-31T22:00:00.000+00:00",
         generator: {
            date: "2024-08-15T17:39:42.216+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2022-2290",
         initial_release_date: "2022-12-12T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2022-12-12T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
            {
               date: "2023-05-31T22:00:00.000+00:00",
               number: "2",
               summary: "CVE Nummern ergänzt",
            },
         ],
         status: "final",
         version: "2",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T016476",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2022-42889",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-42889",
      },
      {
         cve: "CVE-2022-41275",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41275",
      },
      {
         cve: "CVE-2022-41274",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41274",
      },
      {
         cve: "CVE-2022-41273",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41273",
      },
      {
         cve: "CVE-2022-41272",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41272",
      },
      {
         cve: "CVE-2022-41271",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41271",
      },
      {
         cve: "CVE-2022-41268",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41268",
      },
      {
         cve: "CVE-2022-41267",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41267",
      },
      {
         cve: "CVE-2022-41266",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41266",
      },
      {
         cve: "CVE-2022-41264",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41264",
      },
      {
         cve: "CVE-2022-41263",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41263",
      },
      {
         cve: "CVE-2022-41262",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41262",
      },
      {
         cve: "CVE-2022-41261",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41261",
      },
      {
         cve: "CVE-2022-41215",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-41215",
      },
      {
         cve: "CVE-2022-39013",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-39013",
      },
      {
         cve: "CVE-2022-35737",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-35737",
      },
      {
         cve: "CVE-2022-35299",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-35299",
      },
      {
         cve: "CVE-2022-32240",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-32240",
      },
      {
         cve: "CVE-2022-32235",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2022-32235",
      },
      {
         cve: "CVE-2020-6215",
         notes: [
            {
               category: "description",
               text: "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2022-12-12T23:00:00.000+00:00",
         title: "CVE-2020-6215",
      },
   ],
}

fkie_cve-2022-41267

Vulnerability from fkie_nvd

Published

2022-12-13 03:15

Modified

2024-11-21 07:22

Severity ?

9.9 (Critical) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
8.8 (High) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Summary

References

URL	Tags
cna@sap.com	https://launchpad.support.sap.com/#/notes/3239475	Permissions Required, Vendor Advisory
cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://launchpad.support.sap.com/#/notes/3239475	Permissions Required, Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

Impacted products

	Vendor	Product	Version
	sap	business_objects_business_intelligence_platform	420
	sap	business_objects_business_intelligence_platform	430

JSON

To clipboard

{
   configurations: [
      {
         nodes: [
            {
               cpeMatch: [
                  {
                     criteria: "cpe:2.3:a:sap:business_objects_business_intelligence_platform:420:*:*:*:*:*:*:*",
                     matchCriteriaId: "1F7F8064-45BC-4A01-897A-0A2893BBBEC0",
                     vulnerable: true,
                  },
                  {
                     criteria: "cpe:2.3:a:sap:business_objects_business_intelligence_platform:430:*:*:*:*:*:*:*",
                     matchCriteriaId: "6EB0EFA3-8AD2-42F2-86E1-A62ECF8340E3",
                     vulnerable: true,
                  },
               ],
               negate: false,
               operator: "OR",
            },
         ],
      },
   ],
   cveTags: [],
   descriptions: [
      {
         lang: "en",
         value: "SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.",
      },
      {
         lang: "es",
         value: "SAP Business Objects Platform: versiones 420 y 430, permite a un atacante con privilegios de usuario de BI normal cargar/reemplazar cualquier archivo en el servidor de Business Objects a nivel del sistema operativo, lo que le permite al atacante tomar control total del sistema y causar un alto impacto en confidencialidad, integridad y disponibilidad de la solicitud.",
      },
   ],
   id: "CVE-2022-41267",
   lastModified: "2024-11-21T07:22:56.897",
   metrics: {
      cvssMetricV31: [
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "HIGH",
               baseScore: 9.9,
               baseSeverity: "CRITICAL",
               confidentialityImpact: "HIGH",
               integrityImpact: "HIGH",
               privilegesRequired: "LOW",
               scope: "CHANGED",
               userInteraction: "NONE",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H",
               version: "3.1",
            },
            exploitabilityScore: 3.1,
            impactScore: 6,
            source: "cna@sap.com",
            type: "Secondary",
         },
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "HIGH",
               baseScore: 8.8,
               baseSeverity: "HIGH",
               confidentialityImpact: "HIGH",
               integrityImpact: "HIGH",
               privilegesRequired: "LOW",
               scope: "UNCHANGED",
               userInteraction: "NONE",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
               version: "3.1",
            },
            exploitabilityScore: 2.8,
            impactScore: 5.9,
            source: "nvd@nist.gov",
            type: "Primary",
         },
      ],
   },
   published: "2022-12-13T03:15:09.583",
   references: [
      {
         source: "cna@sap.com",
         tags: [
            "Permissions Required",
            "Vendor Advisory",
         ],
         url: "https://launchpad.support.sap.com/#/notes/3239475",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Permissions Required",
            "Vendor Advisory",
         ],
         url: "https://launchpad.support.sap.com/#/notes/3239475",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
   ],
   sourceIdentifier: "cna@sap.com",
   vulnStatus: "Modified",
   weaknesses: [
      {
         description: [
            {
               lang: "en",
               value: "CWE-434",
            },
         ],
         source: "cna@sap.com",
         type: "Secondary",
      },
      {
         description: [
            {
               lang: "en",
               value: "CWE-434",
            },
         ],
         source: "nvd@nist.gov",
         type: "Primary",
      },
   ],
}

gsd-2022-41267

Vulnerability from gsd

Modified

2023-12-13 01:19

Details

Aliases

CVE-2022-41267

Aliases

CVE-2022-41267

JSON

To clipboard

{
   GSD: {
      alias: "CVE-2022-41267",
      id: "GSD-2022-41267",
   },
   gsd: {
      metadata: {
         exploitCode: "unknown",
         remediation: "unknown",
         reportConfidence: "confirmed",
         type: "vulnerability",
      },
      osvSchema: {
         aliases: [
            "CVE-2022-41267",
         ],
         details: "SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.",
         id: "GSD-2022-41267",
         modified: "2023-12-13T01:19:32.701851Z",
         schema_version: "1.4.0",
      },
   },
   namespaces: {
      "cve.org": {
         CVE_data_meta: {
            ASSIGNER: "cna@sap.com",
            ID: "CVE-2022-41267",
            STATE: "PUBLIC",
         },
         affects: {
            vendor: {
               vendor_data: [
                  {
                     product: {
                        product_data: [
                           {
                              product_name: "BusinessObjects Business Intelligence Platform",
                              version: {
                                 version_data: [
                                    {
                                       version_affected: "=",
                                       version_value: "420",
                                    },
                                    {
                                       version_affected: "=",
                                       version_value: "430",
                                    },
                                 ],
                              },
                           },
                        ],
                     },
                     vendor_name: "SAP",
                  },
               ],
            },
         },
         data_format: "MITRE",
         data_type: "CVE",
         data_version: "4.0",
         description: {
            description_data: [
               {
                  lang: "eng",
                  value: "SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.",
               },
            ],
         },
         generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
         impact: {
            cvss: [
               {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "HIGH",
                  baseScore: 9.9,
                  baseSeverity: "CRITICAL",
                  confidentialityImpact: "HIGH",
                  integrityImpact: "HIGH",
                  privilegesRequired: "LOW",
                  scope: "CHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H",
                  version: "3.1",
               },
            ],
         },
         problemtype: {
            problemtype_data: [
               {
                  description: [
                     {
                        cweId: "CWE-434",
                        lang: "eng",
                        value: "CWE-434 Unrestricted Upload of File with Dangerous Type",
                     },
                  ],
               },
            ],
         },
         references: {
            reference_data: [
               {
                  name: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
                  refsource: "MISC",
                  url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
               },
               {
                  name: "https://launchpad.support.sap.com/#/notes/3239475",
                  refsource: "MISC",
                  url: "https://launchpad.support.sap.com/#/notes/3239475",
               },
            ],
         },
         source: {
            discovery: "UNKNOWN",
         },
      },
      "nvd.nist.gov": {
         configurations: {
            CVE_data_version: "4.0",
            nodes: [
               {
                  children: [],
                  cpe_match: [
                     {
                        cpe23Uri: "cpe:2.3:a:sap:business_objects_business_intelligence_platform:430:*:*:*:*:*:*:*",
                        cpe_name: [],
                        vulnerable: true,
                     },
                     {
                        cpe23Uri: "cpe:2.3:a:sap:business_objects_business_intelligence_platform:420:*:*:*:*:*:*:*",
                        cpe_name: [],
                        vulnerable: true,
                     },
                  ],
                  operator: "OR",
               },
            ],
         },
         cve: {
            CVE_data_meta: {
               ASSIGNER: "cna@sap.com",
               ID: "CVE-2022-41267",
            },
            data_format: "MITRE",
            data_type: "CVE",
            data_version: "4.0",
            description: {
               description_data: [
                  {
                     lang: "en",
                     value: "SAP Business Objects Platform - versions 420, and 430, allows an attacker with normal BI user privileges to upload/replace any file on Business Objects server at the operating system level, enabling the attacker to take full control of the system causing a high impact on confidentiality, integrity, and availability of the application.",
                  },
               ],
            },
            problemtype: {
               problemtype_data: [
                  {
                     description: [
                        {
                           lang: "en",
                           value: "CWE-434",
                        },
                     ],
                  },
               ],
            },
            references: {
               reference_data: [
                  {
                     name: "https://launchpad.support.sap.com/#/notes/3239475",
                     refsource: "MISC",
                     tags: [
                        "Permissions Required",
                        "Vendor Advisory",
                     ],
                     url: "https://launchpad.support.sap.com/#/notes/3239475",
                  },
                  {
                     name: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
                     refsource: "MISC",
                     tags: [
                        "Vendor Advisory",
                     ],
                     url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
                  },
               ],
            },
         },
         impact: {
            baseMetricV3: {
               cvssV3: {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "HIGH",
                  baseScore: 8.8,
                  baseSeverity: "HIGH",
                  confidentialityImpact: "HIGH",
                  integrityImpact: "HIGH",
                  privilegesRequired: "LOW",
                  scope: "UNCHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
                  version: "3.1",
               },
               exploitabilityScore: 2.8,
               impactScore: 5.9,
            },
         },
         lastModifiedDate: "2022-12-15T15:50Z",
         publishedDate: "2022-12-13T03:15Z",
      },
   },
}

All sightings related to this event Export sightings related to this event

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

cve-2022-41267

Vulnerability from cvelistv5

ghsa-8v36-8jq8-23wc

Vulnerability from github

WID-SEC-W-2022-2290

Vulnerability from csaf_certbund

wid-sec-w-2022-2290

Vulnerability from csaf_certbund

fkie_cve-2022-41267

Vulnerability from fkie_nvd

gsd-2022-41267

Vulnerability from gsd

Tags

Sightings

Nomenclature