cvelistv5 - cve-2023-42477

cve-2023-42477

Vulnerability from cvelistv5

Published

2023-10-10 01:37

Modified

2024-09-18 18:55

Severity ?

6.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Summary

SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50, allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.

References

URL	Tags
cna@sap.com	https://me.sap.com/notes/3333426	Permissions Required
cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3333426	Permissions Required
af854a3a-2127-422b-91ae-364da2661108	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

Impacted products

	Vendor	Product	Version
	SAP_SE	SAP NetWeaver AS Java	Version: 7.50

Show details on NVD website

JSON

To clipboard

{
   containers: {
      adp: [
         {
            providerMetadata: {
               dateUpdated: "2024-08-02T19:23:39.133Z",
               orgId: "af854a3a-2127-422b-91ae-364da2661108",
               shortName: "CVE",
            },
            references: [
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://me.sap.com/notes/3333426",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
               },
            ],
            title: "CVE Program Container",
         },
         {
            metrics: [
               {
                  other: {
                     content: {
                        id: "CVE-2023-42477",
                        options: [
                           {
                              Exploitation: "none",
                           },
                           {
                              Automatable: "yes",
                           },
                           {
                              "Technical Impact": "partial",
                           },
                        ],
                        role: "CISA Coordinator",
                        timestamp: "2024-09-18T18:54:26.974833Z",
                        version: "2.0.3",
                     },
                     type: "ssvc",
                  },
               },
            ],
            providerMetadata: {
               dateUpdated: "2024-09-18T18:55:58.441Z",
               orgId: "134c704f-9b21-4f2e-91b3-4a467353bcc0",
               shortName: "CISA-ADP",
            },
            title: "CISA ADP Vulnrichment",
         },
      ],
      cna: {
         affected: [
            {
               defaultStatus: "unaffected",
               product: "SAP NetWeaver AS Java",
               vendor: "SAP_SE",
               versions: [
                  {
                     status: "affected",
                     version: "7.50",
                  },
               ],
            },
         ],
         descriptions: [
            {
               lang: "en",
               supportingMedia: [
                  {
                     base64: false,
                     type: "text/html",
                     value: "<p>SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50, allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.</p>",
                  },
               ],
               value: "SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50, allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.\n\n",
            },
         ],
         metrics: [
            {
               cvssV3_1: {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 6.5,
                  baseSeverity: "MEDIUM",
                  confidentialityImpact: "LOW",
                  integrityImpact: "LOW",
                  privilegesRequired: "NONE",
                  scope: "UNCHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
                  version: "3.1",
               },
               format: "CVSS",
               scenarios: [
                  {
                     lang: "en",
                     value: "GENERAL",
                  },
               ],
            },
         ],
         problemTypes: [
            {
               descriptions: [
                  {
                     cweId: "CWE-918",
                     description: "CWE-918: Server-Side Request Forgery (SSRF)",
                     lang: "eng",
                     type: "CWE",
                  },
               ],
            },
         ],
         providerMetadata: {
            dateUpdated: "2023-10-10T01:37:54.816Z",
            orgId: "e4686d1a-f260-4930-ac4c-2f5c992778dd",
            shortName: "sap",
         },
         references: [
            {
               url: "https://me.sap.com/notes/3333426",
            },
            {
               url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
            },
         ],
         source: {
            discovery: "UNKNOWN",
         },
         title: "Server-Side Request Forgery in SAP NetWeaver AS Java (GRMG Heartbeat application)",
         x_generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
      },
   },
   cveMetadata: {
      assignerOrgId: "e4686d1a-f260-4930-ac4c-2f5c992778dd",
      assignerShortName: "sap",
      cveId: "CVE-2023-42477",
      datePublished: "2023-10-10T01:37:54.816Z",
      dateReserved: "2023-09-11T07:15:13.775Z",
      dateUpdated: "2024-09-18T18:55:58.441Z",
      state: "PUBLISHED",
   },
   dataType: "CVE_RECORD",
   dataVersion: "5.1",
   "vulnerability-lookup:meta": {
      fkie_nvd: {
         configurations: "[{\"nodes\": [{\"operator\": \"OR\", \"negate\": false, \"cpeMatch\": [{\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:sap:netweaver_application_server_java:7.50:*:*:*:*:*:*:*\", \"matchCriteriaId\": \"9C506445-3787-4BFF-A98B-7502A0F7CF80\"}]}]}]",
         descriptions: "[{\"lang\": \"en\", \"value\": \"SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50,\\u00a0allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.\\n\\n\"}, {\"lang\": \"es\", \"value\": \"SAP NetWeaver AS Java (aplicaci\\u00f3n GRMG Heartbeat): versi\\u00f3n 7.50, permite a un atacante enviar una solicitud manipulada desde una aplicaci\\u00f3n web vulnerable, lo que provoca un impacto limitado en la confidencialidad y la integridad de la aplicaci\\u00f3n.\"}]",
         id: "CVE-2023-42477",
         lastModified: "2024-11-21T08:22:38.047",
         metrics: "{\"cvssMetricV31\": [{\"source\": \"cna@sap.com\", \"type\": \"Secondary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N\", \"baseScore\": 6.5, \"baseSeverity\": \"MEDIUM\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"NONE\", \"scope\": \"UNCHANGED\", \"confidentialityImpact\": \"LOW\", \"integrityImpact\": \"LOW\", \"availabilityImpact\": \"NONE\"}, \"exploitabilityScore\": 3.9, \"impactScore\": 2.5}, {\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N\", \"baseScore\": 6.5, \"baseSeverity\": \"MEDIUM\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"NONE\", \"scope\": \"UNCHANGED\", \"confidentialityImpact\": \"LOW\", \"integrityImpact\": \"LOW\", \"availabilityImpact\": \"NONE\"}, \"exploitabilityScore\": 3.9, \"impactScore\": 2.5}]}",
         published: "2023-10-10T02:15:11.103",
         references: "[{\"url\": \"https://me.sap.com/notes/3333426\", \"source\": \"cna@sap.com\", \"tags\": [\"Permissions Required\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"source\": \"cna@sap.com\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"https://me.sap.com/notes/3333426\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Permissions Required\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Vendor Advisory\"]}]",
         sourceIdentifier: "cna@sap.com",
         vulnStatus: "Modified",
         weaknesses: "[{\"source\": \"cna@sap.com\", \"type\": \"Primary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-918\"}]}]",
      },
      nvd: "{\"cve\":{\"id\":\"CVE-2023-42477\",\"sourceIdentifier\":\"cna@sap.com\",\"published\":\"2023-10-10T02:15:11.103\",\"lastModified\":\"2024-11-21T08:22:38.047\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50, allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.\\n\\n\"},{\"lang\":\"es\",\"value\":\"SAP NetWeaver AS Java (aplicación GRMG Heartbeat): versión 7.50, permite a un atacante enviar una solicitud manipulada desde una aplicación web vulnerable, lo que provoca un impacto limitado en la confidencialidad y la integridad de la aplicación.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N\",\"baseScore\":6.5,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":2.5},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N\",\"baseScore\":6.5,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":2.5}]},\"weaknesses\":[{\"source\":\"cna@sap.com\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-918\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:netweaver_application_server_java:7.50:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"9C506445-3787-4BFF-A98B-7502A0F7CF80\"}]}]}],\"references\":[{\"url\":\"https://me.sap.com/notes/3333426\",\"source\":\"cna@sap.com\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://me.sap.com/notes/3333426\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
      vulnrichment: {
         containers: "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://me.sap.com/notes/3333426\", \"tags\": [\"x_transferred\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"tags\": [\"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-02T19:23:39.133Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2023-42477\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"yes\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-09-18T18:54:26.974833Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-09-18T18:55:12.046Z\"}}], \"cna\": {\"title\": \"Server-Side Request Forgery in SAP NetWeaver AS Java (GRMG Heartbeat application)\", \"source\": {\"discovery\": \"UNKNOWN\"}, \"metrics\": [{\"format\": \"CVSS\", \"cvssV3_1\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 6.5, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"MEDIUM\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N\", \"integrityImpact\": \"LOW\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"NONE\", \"privilegesRequired\": \"NONE\", \"confidentialityImpact\": \"LOW\"}, \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"affected\": [{\"vendor\": \"SAP_SE\", \"product\": \"SAP NetWeaver AS Java\", \"versions\": [{\"status\": \"affected\", \"version\": \"7.50\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://me.sap.com/notes/3333426\"}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\"}], \"x_generator\": {\"engine\": \"Vulnogram 0.1.0-dev\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50,\\u00a0allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.\\n\\n\", \"supportingMedia\": [{\"type\": \"text/html\", \"value\": \"<p>SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50,\\u00a0allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.</p>\", \"base64\": false}]}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"eng\", \"type\": \"CWE\", \"cweId\": \"CWE-918\", \"description\": \"CWE-918: Server-Side Request Forgery (SSRF)\"}]}], \"providerMetadata\": {\"orgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"shortName\": \"sap\", \"dateUpdated\": \"2023-10-10T01:37:54.816Z\"}}}",
         cveMetadata: "{\"cveId\": \"CVE-2023-42477\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2024-09-18T18:55:58.441Z\", \"dateReserved\": \"2023-09-11T07:15:13.775Z\", \"assignerOrgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"datePublished\": \"2023-10-10T01:37:54.816Z\", \"assignerShortName\": \"sap\"}",
         dataType: "CVE_RECORD",
         dataVersion: "5.1",
      },
   },
}

wid-sec-w-2023-2600

Vulnerability from csaf_certbund

Published

2023-10-09 22:00

Modified

2023-10-09 22:00

Summary

SAP Patchday Oktober 2023

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - MacOS X - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2023-2600 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2600.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2023-2600 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2600",
         },
         {
            category: "external",
            summary: "SAP Security Patch Day - October 2023 vom 2023-10-09",
            url: "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10",
         },
      ],
      source_lang: "en-US",
      title: "SAP Patchday Oktober 2023",
      tracking: {
         current_release_date: "2023-10-09T22:00:00.000+00:00",
         generator: {
            date: "2024-08-15T17:59:37.460+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2023-2600",
         initial_release_date: "2023-10-09T22:00:00.000+00:00",
         revision_history: [
            {
               date: "2023-10-09T22:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T016476",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2023-42477",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-42477",
      },
      {
         cve: "CVE-2023-42475",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-42475",
      },
      {
         cve: "CVE-2023-42474",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-42474",
      },
      {
         cve: "CVE-2023-42473",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-42473",
      },
      {
         cve: "CVE-2023-41365",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-41365",
      },
      {
         cve: "CVE-2023-40310",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-40310",
      },
      {
         cve: "CVE-2023-31405",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-31405",
      },
   ],
}

WID-SEC-W-2023-2882

Vulnerability from csaf_certbund

Published

2023-11-13 23:00

Modified

2023-11-13 23:00

Summary

SAP Software: Mehrere Schwachstellen

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um Dateien zu manipulieren, seine Rechte zu erweitern oder vertrauliche Informationen offenzulegen.

Betroffene Betriebssysteme

- Linux - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um Dateien zu manipulieren, seine Rechte zu erweitern oder vertrauliche Informationen offenzulegen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- Linux\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2023-2882 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2882.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2023-2882 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2882",
         },
         {
            category: "external",
            summary: "SAP Security Patch Day –November2023 vom 2023-11-13",
            url: "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10",
         },
      ],
      source_lang: "en-US",
      title: "SAP Software: Mehrere Schwachstellen",
      tracking: {
         current_release_date: "2023-11-13T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T18:01:27.255+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2023-2882",
         initial_release_date: "2023-11-13T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2023-11-13T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T031077",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2023-42480",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP-Software. Dieser Fehler besteht in der NetWeaver AS Java Logon-Anwendung aufgrund einer unzureichenden Verteidigung gegen Brute-Force-Techniken, die es ermöglichen, die legitimen Benutzerkennungen zu identifizieren. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-42480",
      },
      {
         cve: "CVE-2023-42477",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP Software. Dieser Fehler besteht in der NetWeaver AS Java (GRMG Heartbeat-Anwendung) Komponente, die es ermöglicht, eine manipulierte Anfrage von einer verwundbaren Webanwendung zu senden. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-42477",
      },
      {
         cve: "CVE-2023-41366",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP-Software. Dieser Fehler besteht in der NetWeaver Application Server ABAP Komponente aufgrund fehlender Einschränkungen, die den Zugriff auf unbeabsichtigte Daten ermöglichen. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-41366",
      },
      {
         cve: "CVE-2023-40309",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP Software. Dieser Fehler besteht in der Komponente CommonCryptoLib aufgrund einer unsachgemäßen Authentifizierungsprüfung, die zu einer fehlenden oder falschen Autorisierung führt. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um seine Privilegien zu erweitern.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-40309",
      },
      {
         cve: "CVE-2023-31403",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP-Software. Dieser Fehler besteht in der Business One-Installation aufgrund einer unsachgemäßen Authentifizierungs- und Autorisierungsprüfung für freigegebene SMB-Ordner, die das Lesen und Schreiben freigegebener Dateien ermöglicht. Ein Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-31403",
      },
   ],
}

wid-sec-w-2023-2882

Vulnerability from csaf_certbund

Published

2023-11-13 23:00

Modified

2023-11-13 23:00

Summary

SAP Software: Mehrere Schwachstellen

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um Dateien zu manipulieren, seine Rechte zu erweitern oder vertrauliche Informationen offenzulegen.

Betroffene Betriebssysteme

- Linux - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um Dateien zu manipulieren, seine Rechte zu erweitern oder vertrauliche Informationen offenzulegen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- Linux\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2023-2882 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2882.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2023-2882 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2882",
         },
         {
            category: "external",
            summary: "SAP Security Patch Day –November2023 vom 2023-11-13",
            url: "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10",
         },
      ],
      source_lang: "en-US",
      title: "SAP Software: Mehrere Schwachstellen",
      tracking: {
         current_release_date: "2023-11-13T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T18:01:27.255+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2023-2882",
         initial_release_date: "2023-11-13T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2023-11-13T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T031077",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2023-42480",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP-Software. Dieser Fehler besteht in der NetWeaver AS Java Logon-Anwendung aufgrund einer unzureichenden Verteidigung gegen Brute-Force-Techniken, die es ermöglichen, die legitimen Benutzerkennungen zu identifizieren. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-42480",
      },
      {
         cve: "CVE-2023-42477",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP Software. Dieser Fehler besteht in der NetWeaver AS Java (GRMG Heartbeat-Anwendung) Komponente, die es ermöglicht, eine manipulierte Anfrage von einer verwundbaren Webanwendung zu senden. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-42477",
      },
      {
         cve: "CVE-2023-41366",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP-Software. Dieser Fehler besteht in der NetWeaver Application Server ABAP Komponente aufgrund fehlender Einschränkungen, die den Zugriff auf unbeabsichtigte Daten ermöglichen. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-41366",
      },
      {
         cve: "CVE-2023-40309",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP Software. Dieser Fehler besteht in der Komponente CommonCryptoLib aufgrund einer unsachgemäßen Authentifizierungsprüfung, die zu einer fehlenden oder falschen Autorisierung führt. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um seine Privilegien zu erweitern.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-40309",
      },
      {
         cve: "CVE-2023-31403",
         notes: [
            {
               category: "description",
               text: "Es besteht eine Schwachstelle in der SAP-Software. Dieser Fehler besteht in der Business One-Installation aufgrund einer unsachgemäßen Authentifizierungs- und Autorisierungsprüfung für freigegebene SMB-Ordner, die das Lesen und Schreiben freigegebener Dateien ermöglicht. Ein Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-11-13T23:00:00.000+00:00",
         title: "CVE-2023-31403",
      },
   ],
}

WID-SEC-W-2023-2600

Vulnerability from csaf_certbund

Published

2023-10-09 22:00

Modified

2023-10-09 22:00

Summary

SAP Patchday Oktober 2023

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Betroffene Betriebssysteme

- UNIX - Linux - MacOS X - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2023-2600 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2600.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2023-2600 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2600",
         },
         {
            category: "external",
            summary: "SAP Security Patch Day - October 2023 vom 2023-10-09",
            url: "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10",
         },
      ],
      source_lang: "en-US",
      title: "SAP Patchday Oktober 2023",
      tracking: {
         current_release_date: "2023-10-09T22:00:00.000+00:00",
         generator: {
            date: "2024-08-15T17:59:37.460+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2023-2600",
         initial_release_date: "2023-10-09T22:00:00.000+00:00",
         revision_history: [
            {
               date: "2023-10-09T22:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T016476",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2023-42477",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-42477",
      },
      {
         cve: "CVE-2023-42475",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-42475",
      },
      {
         cve: "CVE-2023-42474",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-42474",
      },
      {
         cve: "CVE-2023-42473",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-42473",
      },
      {
         cve: "CVE-2023-41365",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-41365",
      },
      {
         cve: "CVE-2023-40310",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-40310",
      },
      {
         cve: "CVE-2023-31405",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungsprüfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.",
            },
         ],
         product_status: {
            known_affected: [
               "T016476",
            ],
         },
         release_date: "2023-10-09T22:00:00.000+00:00",
         title: "CVE-2023-31405",
      },
   ],
}

fkie_cve-2023-42477

Vulnerability from fkie_nvd

Published

2023-10-10 02:15

Modified

2024-11-21 08:22

Severity ?

6.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
6.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Summary

References

URL	Tags
cna@sap.com	https://me.sap.com/notes/3333426	Permissions Required
cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3333426	Permissions Required
af854a3a-2127-422b-91ae-364da2661108	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

Impacted products

	Vendor	Product	Version
	sap	netweaver_application_server_java	7.50

JSON

To clipboard

{
   configurations: [
      {
         nodes: [
            {
               cpeMatch: [
                  {
                     criteria: "cpe:2.3:a:sap:netweaver_application_server_java:7.50:*:*:*:*:*:*:*",
                     matchCriteriaId: "9C506445-3787-4BFF-A98B-7502A0F7CF80",
                     vulnerable: true,
                  },
               ],
               negate: false,
               operator: "OR",
            },
         ],
      },
   ],
   cveTags: [],
   descriptions: [
      {
         lang: "en",
         value: "SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50, allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.\n\n",
      },
      {
         lang: "es",
         value: "SAP NetWeaver AS Java (aplicación GRMG Heartbeat): versión 7.50, permite a un atacante enviar una solicitud manipulada desde una aplicación web vulnerable, lo que provoca un impacto limitado en la confidencialidad y la integridad de la aplicación.",
      },
   ],
   id: "CVE-2023-42477",
   lastModified: "2024-11-21T08:22:38.047",
   metrics: {
      cvssMetricV31: [
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "NONE",
               baseScore: 6.5,
               baseSeverity: "MEDIUM",
               confidentialityImpact: "LOW",
               integrityImpact: "LOW",
               privilegesRequired: "NONE",
               scope: "UNCHANGED",
               userInteraction: "NONE",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
               version: "3.1",
            },
            exploitabilityScore: 3.9,
            impactScore: 2.5,
            source: "cna@sap.com",
            type: "Secondary",
         },
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "NONE",
               baseScore: 6.5,
               baseSeverity: "MEDIUM",
               confidentialityImpact: "LOW",
               integrityImpact: "LOW",
               privilegesRequired: "NONE",
               scope: "UNCHANGED",
               userInteraction: "NONE",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
               version: "3.1",
            },
            exploitabilityScore: 3.9,
            impactScore: 2.5,
            source: "nvd@nist.gov",
            type: "Primary",
         },
      ],
   },
   published: "2023-10-10T02:15:11.103",
   references: [
      {
         source: "cna@sap.com",
         tags: [
            "Permissions Required",
         ],
         url: "https://me.sap.com/notes/3333426",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Permissions Required",
         ],
         url: "https://me.sap.com/notes/3333426",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
   ],
   sourceIdentifier: "cna@sap.com",
   vulnStatus: "Modified",
   weaknesses: [
      {
         description: [
            {
               lang: "en",
               value: "CWE-918",
            },
         ],
         source: "cna@sap.com",
         type: "Primary",
      },
   ],
}

ghsa-pvcj-pg6x-h564

Vulnerability from github

Published

2023-10-10 03:30

Modified

2024-04-04 08:26

Severity ?

6.5 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Details

Show details on source website

JSON

To clipboard

{
   affected: [],
   aliases: [
      "CVE-2023-42477",
   ],
   database_specific: {
      cwe_ids: [
         "CWE-918",
      ],
      github_reviewed: false,
      github_reviewed_at: null,
      nvd_published_at: "2023-10-10T02:15:11Z",
      severity: "MODERATE",
   },
   details: "SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50, allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.\n\n",
   id: "GHSA-pvcj-pg6x-h564",
   modified: "2024-04-04T08:26:58Z",
   published: "2023-10-10T03:30:28Z",
   references: [
      {
         type: "ADVISORY",
         url: "https://nvd.nist.gov/vuln/detail/CVE-2023-42477",
      },
      {
         type: "WEB",
         url: "https://me.sap.com/notes/3333426",
      },
      {
         type: "WEB",
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
   ],
   schema_version: "1.4.0",
   severity: [
      {
         score: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
         type: "CVSS_V3",
      },
   ],
}

gsd-2023-42477

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

Aliases

CVE-2023-42477

Aliases

CVE-2023-42477

JSON

To clipboard

{
   GSD: {
      alias: "CVE-2023-42477",
      id: "GSD-2023-42477",
   },
   gsd: {
      metadata: {
         exploitCode: "unknown",
         remediation: "unknown",
         reportConfidence: "confirmed",
         type: "vulnerability",
      },
      osvSchema: {
         aliases: [
            "CVE-2023-42477",
         ],
         details: "SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50, allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.\n\n",
         id: "GSD-2023-42477",
         modified: "2023-12-13T01:20:22.066672Z",
         schema_version: "1.4.0",
      },
   },
   namespaces: {
      "cve.org": {
         CVE_data_meta: {
            ASSIGNER: "cna@sap.com",
            ID: "CVE-2023-42477",
            STATE: "PUBLIC",
         },
         affects: {
            vendor: {
               vendor_data: [
                  {
                     product: {
                        product_data: [
                           {
                              product_name: "SAP NetWeaver AS Java",
                              version: {
                                 version_data: [
                                    {
                                       version_affected: "=",
                                       version_value: "7.50",
                                    },
                                 ],
                              },
                           },
                        ],
                     },
                     vendor_name: "SAP_SE",
                  },
               ],
            },
         },
         data_format: "MITRE",
         data_type: "CVE",
         data_version: "4.0",
         description: {
            description_data: [
               {
                  lang: "eng",
                  value: "SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50, allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.\n\n",
               },
            ],
         },
         generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
         impact: {
            cvss: [
               {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 6.5,
                  baseSeverity: "MEDIUM",
                  confidentialityImpact: "LOW",
                  integrityImpact: "LOW",
                  privilegesRequired: "NONE",
                  scope: "UNCHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
                  version: "3.1",
               },
            ],
         },
         problemtype: {
            problemtype_data: [
               {
                  description: [
                     {
                        cweId: "CWE-918",
                        lang: "eng",
                        value: "CWE-918: Server-Side Request Forgery (SSRF)",
                     },
                  ],
               },
            ],
         },
         references: {
            reference_data: [
               {
                  name: "https://me.sap.com/notes/3333426",
                  refsource: "MISC",
                  url: "https://me.sap.com/notes/3333426",
               },
               {
                  name: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
                  refsource: "MISC",
                  url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
               },
            ],
         },
         source: {
            discovery: "UNKNOWN",
         },
      },
      "nvd.nist.gov": {
         configurations: {
            CVE_data_version: "4.0",
            nodes: [
               {
                  children: [],
                  cpe_match: [
                     {
                        cpe23Uri: "cpe:2.3:a:sap:netweaver_application_server_java:7.50:*:*:*:*:*:*:*",
                        cpe_name: [],
                        vulnerable: true,
                     },
                  ],
                  operator: "OR",
               },
            ],
         },
         cve: {
            CVE_data_meta: {
               ASSIGNER: "cna@sap.com",
               ID: "CVE-2023-42477",
            },
            data_format: "MITRE",
            data_type: "CVE",
            data_version: "4.0",
            description: {
               description_data: [
                  {
                     lang: "en",
                     value: "SAP NetWeaver AS Java (GRMG Heartbeat application) - version 7.50, allows an attacker to send a crafted request from a vulnerable web application, causing limited impact on confidentiality and integrity of the application.\n\n",
                  },
               ],
            },
            problemtype: {
               problemtype_data: [
                  {
                     description: [
                        {
                           lang: "en",
                           value: "CWE-918",
                        },
                     ],
                  },
               ],
            },
            references: {
               reference_data: [
                  {
                     name: "https://me.sap.com/notes/3333426",
                     refsource: "MISC",
                     tags: [
                        "Permissions Required",
                     ],
                     url: "https://me.sap.com/notes/3333426",
                  },
                  {
                     name: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
                     refsource: "MISC",
                     tags: [
                        "Vendor Advisory",
                     ],
                     url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
                  },
               ],
            },
         },
         impact: {
            baseMetricV3: {
               cvssV3: {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 6.5,
                  baseSeverity: "MEDIUM",
                  confidentialityImpact: "LOW",
                  integrityImpact: "LOW",
                  privilegesRequired: "NONE",
                  scope: "UNCHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
                  version: "3.1",
               },
               exploitabilityScore: 3.9,
               impactScore: 2.5,
            },
         },
         lastModifiedDate: "2023-10-16T18:14Z",
         publishedDate: "2023-10-10T02:15Z",
      },
   },
}

All sightings related to this event Export sightings related to this event

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

Vulnerability from cvelistv5

Vulnerability from csaf_certbund

Vulnerability from csaf_certbund

Vulnerability from csaf_certbund

Vulnerability from csaf_certbund

Vulnerability from fkie_nvd

Vulnerability from github

Vulnerability from gsd

Tags

Sightings

Nomenclature