cvelistv5 - cve-2023-50422

cve-2023-50422

Vulnerability from cvelistv5

Published

2023-12-12 01:31

Modified

2024-09-28 22:17

Severity ?

9.1 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Summary

SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.

References

URL	Tags
cna@sap.com	https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/	Vendor Advisory
cna@sap.com	https://github.com/SAP/cloud-security-services-integration-library/	Product
cna@sap.com	https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73	Vendor Advisory
cna@sap.com	https://me.sap.com/notes/3411067	Permissions Required
cna@sap.com	https://me.sap.com/notes/3413475
cna@sap.com	https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa	Product
cna@sap.com	https://mvnrepository.com/artifact/com.sap.cloud.security/java-security	Product
cna@sap.com	https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security	Product
cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://github.com/SAP/cloud-security-services-integration-library/	Product
af854a3a-2127-422b-91ae-364da2661108	https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3411067	Permissions Required
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3413475
af854a3a-2127-422b-91ae-364da2661108	https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa	Product
af854a3a-2127-422b-91ae-364da2661108	https://mvnrepository.com/artifact/com.sap.cloud.security/java-security	Product
af854a3a-2127-422b-91ae-364da2661108	https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security	Product
af854a3a-2127-422b-91ae-364da2661108	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

Impacted products

	Vendor	Product	Version
	SAP_SE	cloud-security-services-integration-library	Version: < 2.17.0 Version: 3.0.0 < 3.3.0

Show details on NVD website

JSON

To clipboard

{
   containers: {
      adp: [
         {
            providerMetadata: {
               dateUpdated: "2024-08-02T22:16:46.536Z",
               orgId: "af854a3a-2127-422b-91ae-364da2661108",
               shortName: "CVE",
            },
            references: [
               {
                  tags: [
                     "vendor-advisory",
                     "x_transferred",
                  ],
                  url: "https://me.sap.com/notes/3411067",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://github.com/SAP/cloud-security-services-integration-library/",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://mvnrepository.com/artifact/com.sap.cloud.security/java-security",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/",
               },
               {
                  tags: [
                     "vendor-advisory",
                     "x_transferred",
                  ],
                  url: "https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73",
               },
               {
                  tags: [
                     "x_transferred",
                  ],
                  url: "https://me.sap.com/notes/3413475",
               },
            ],
            title: "CVE Program Container",
         },
      ],
      cna: {
         affected: [
            {
               defaultStatus: "unaffected",
               product: "cloud-security-services-integration-library",
               vendor: "SAP_SE",
               versions: [
                  {
                     status: "affected",
                     version: "< 2.17.0",
                  },
                  {
                     lessThan: "3.3.0",
                     status: "affected",
                     version: "3.0.0",
                     versionType: "custom",
                  },
               ],
            },
         ],
         descriptions: [
            {
               lang: "en",
               supportingMedia: [
                  {
                     base64: false,
                     type: "text/html",
                     value: "<p>SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.</p>",
                  },
               ],
               value: "SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.",
            },
         ],
         metrics: [
            {
               cvssV3_1: {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 9.1,
                  baseSeverity: "CRITICAL",
                  confidentialityImpact: "HIGH",
                  integrityImpact: "HIGH",
                  privilegesRequired: "NONE",
                  scope: "UNCHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N",
                  version: "3.1",
               },
               format: "CVSS",
               scenarios: [
                  {
                     lang: "en",
                     value: "GENERAL",
                  },
               ],
            },
         ],
         problemTypes: [
            {
               descriptions: [
                  {
                     cweId: "CWE-749",
                     description: "CWE-749: Exposed Dangerous Method or Function",
                     lang: "en",
                     type: "CWE",
                  },
               ],
            },
         ],
         providerMetadata: {
            dateUpdated: "2024-09-28T22:17:43.519Z",
            orgId: "e4686d1a-f260-4930-ac4c-2f5c992778dd",
            shortName: "sap",
         },
         references: [
            {
               tags: [
                  "vendor-advisory",
               ],
               url: "https://me.sap.com/notes/3411067",
            },
            {
               url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
            },
            {
               url: "https://github.com/SAP/cloud-security-services-integration-library/",
            },
            {
               url: "https://mvnrepository.com/artifact/com.sap.cloud.security/java-security",
            },
            {
               url: "https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security",
            },
            {
               url: "https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa",
            },
            {
               url: "https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/",
            },
            {
               tags: [
                  "vendor-advisory",
               ],
               url: "https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73",
            },
            {
               url: "https://me.sap.com/notes/3413475",
            },
         ],
         source: {
            discovery: "UNKNOWN",
         },
         title: "Escalation of Privileges in SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library)",
         x_generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
      },
   },
   cveMetadata: {
      assignerOrgId: "e4686d1a-f260-4930-ac4c-2f5c992778dd",
      assignerShortName: "sap",
      cveId: "CVE-2023-50422",
      datePublished: "2023-12-12T01:31:17.991Z",
      dateReserved: "2023-12-09T17:19:02.677Z",
      dateUpdated: "2024-09-28T22:17:43.519Z",
      state: "PUBLISHED",
   },
   dataType: "CVE_RECORD",
   dataVersion: "5.1",
   "vulnerability-lookup:meta": {
      fkie_nvd: {
         configurations: "[{\"nodes\": [{\"operator\": \"OR\", \"negate\": false, \"cpeMatch\": [{\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:sap:cloud-security-services-integration-library:*:*:*:*:*:java:*:*\", \"versionEndExcluding\": \"2.17.0\", \"matchCriteriaId\": \"EA00D38E-621A-4114-8F4F-F0AA3C41E88F\"}, {\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:sap:cloud-security-services-integration-library:*:*:*:*:*:java:*:*\", \"versionStartIncluding\": \"3.0.0\", \"versionEndExcluding\": \"3.3.0\", \"matchCriteriaId\": \"4C7EE7BE-CA31-4B97-B455-41F66AEE85E9\"}]}]}]",
         descriptions: "[{\"lang\": \"en\", \"value\": \"SAP\\u00a0BTP\\u00a0Security Services Integration Library ([Java] cloud-security-services-integration-library) -\\u00a0versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.\"}, {\"lang\": \"es\", \"value\": \"SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library): las versiones inferiores a 2.17.0 y las versiones desde 3.0.0 hasta anteriores a 3.3.0 permiten, bajo ciertas condiciones, una escalada de privilegios. Si la explotaci\\u00f3n tiene \\u00e9xito, un atacante no autenticado puede obtener permisos arbitrarios dentro de la aplicaci\\u00f3n.\"}]",
         id: "CVE-2023-50422",
         lastModified: "2024-11-21T08:36:57.380",
         metrics: "{\"cvssMetricV31\": [{\"source\": \"cna@sap.com\", \"type\": \"Secondary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N\", \"baseScore\": 9.1, \"baseSeverity\": \"CRITICAL\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"NONE\", \"scope\": \"UNCHANGED\", \"confidentialityImpact\": \"HIGH\", \"integrityImpact\": \"HIGH\", \"availabilityImpact\": \"NONE\"}, \"exploitabilityScore\": 3.9, \"impactScore\": 5.2}, {\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H\", \"baseScore\": 9.8, \"baseSeverity\": \"CRITICAL\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"NONE\", \"userInteraction\": \"NONE\", \"scope\": \"UNCHANGED\", \"confidentialityImpact\": \"HIGH\", \"integrityImpact\": \"HIGH\", \"availabilityImpact\": \"HIGH\"}, \"exploitabilityScore\": 3.9, \"impactScore\": 5.9}]}",
         published: "2023-12-12T02:15:08.587",
         references: "[{\"url\": \"https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/\", \"source\": \"cna@sap.com\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"https://github.com/SAP/cloud-security-services-integration-library/\", \"source\": \"cna@sap.com\", \"tags\": [\"Product\"]}, {\"url\": \"https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73\", \"source\": \"cna@sap.com\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"https://me.sap.com/notes/3411067\", \"source\": \"cna@sap.com\", \"tags\": [\"Permissions Required\"]}, {\"url\": \"https://me.sap.com/notes/3413475\", \"source\": \"cna@sap.com\"}, {\"url\": \"https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa\", \"source\": \"cna@sap.com\", \"tags\": [\"Product\"]}, {\"url\": \"https://mvnrepository.com/artifact/com.sap.cloud.security/java-security\", \"source\": \"cna@sap.com\", \"tags\": [\"Product\"]}, {\"url\": \"https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security\", \"source\": \"cna@sap.com\", \"tags\": [\"Product\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"source\": \"cna@sap.com\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"https://github.com/SAP/cloud-security-services-integration-library/\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Product\"]}, {\"url\": \"https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"https://me.sap.com/notes/3411067\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Permissions Required\"]}, {\"url\": \"https://me.sap.com/notes/3413475\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\"}, {\"url\": \"https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Product\"]}, {\"url\": \"https://mvnrepository.com/artifact/com.sap.cloud.security/java-security\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Product\"]}, {\"url\": \"https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Product\"]}, {\"url\": \"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Vendor Advisory\"]}]",
         sourceIdentifier: "cna@sap.com",
         vulnStatus: "Modified",
         weaknesses: "[{\"source\": \"cna@sap.com\", \"type\": \"Primary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-749\"}]}]",
      },
      nvd: "{\"cve\":{\"id\":\"CVE-2023-50422\",\"sourceIdentifier\":\"cna@sap.com\",\"published\":\"2023-12-12T02:15:08.587\",\"lastModified\":\"2024-11-21T08:36:57.380\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.\"},{\"lang\":\"es\",\"value\":\"SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library): las versiones inferiores a 2.17.0 y las versiones desde 3.0.0 hasta anteriores a 3.3.0 permiten, bajo ciertas condiciones, una escalada de privilegios. Si la explotación tiene éxito, un atacante no autenticado puede obtener permisos arbitrarios dentro de la aplicación.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N\",\"baseScore\":9.1,\"baseSeverity\":\"CRITICAL\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":5.2},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H\",\"baseScore\":9.8,\"baseSeverity\":\"CRITICAL\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":3.9,\"impactScore\":5.9}]},\"weaknesses\":[{\"source\":\"cna@sap.com\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-749\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:cloud-security-services-integration-library:*:*:*:*:*:java:*:*\",\"versionEndExcluding\":\"2.17.0\",\"matchCriteriaId\":\"EA00D38E-621A-4114-8F4F-F0AA3C41E88F\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:cloud-security-services-integration-library:*:*:*:*:*:java:*:*\",\"versionStartIncluding\":\"3.0.0\",\"versionEndExcluding\":\"3.3.0\",\"matchCriteriaId\":\"4C7EE7BE-CA31-4B97-B455-41F66AEE85E9\"}]}]}],\"references\":[{\"url\":\"https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://github.com/SAP/cloud-security-services-integration-library/\",\"source\":\"cna@sap.com\",\"tags\":[\"Product\"]},{\"url\":\"https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://me.sap.com/notes/3411067\",\"source\":\"cna@sap.com\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://me.sap.com/notes/3413475\",\"source\":\"cna@sap.com\"},{\"url\":\"https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa\",\"source\":\"cna@sap.com\",\"tags\":[\"Product\"]},{\"url\":\"https://mvnrepository.com/artifact/com.sap.cloud.security/java-security\",\"source\":\"cna@sap.com\",\"tags\":[\"Product\"]},{\"url\":\"https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security\",\"source\":\"cna@sap.com\",\"tags\":[\"Product\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://github.com/SAP/cloud-security-services-integration-library/\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Product\"]},{\"url\":\"https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://me.sap.com/notes/3411067\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://me.sap.com/notes/3413475\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\"},{\"url\":\"https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Product\"]},{\"url\":\"https://mvnrepository.com/artifact/com.sap.cloud.security/java-security\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Product\"]},{\"url\":\"https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Product\"]},{\"url\":\"https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
   },
}

WID-SEC-W-2024-0025

Vulnerability from csaf_certbund

Published

2024-01-08 23:00

Modified

2024-01-08 23:00

Summary

SAP Patchday Januar 2024

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter Angreifer kann mehrere Schwachstellen in SAP-Software ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter Angreifer kann mehrere Schwachstellen in SAP-Software ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2024-0025 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0025.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2024-0025 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0025",
         },
         {
            category: "external",
            summary: "SAP Patchday Januar 2024 vom 2024-01-08",
            url: "https://www.sap.com/docs/download/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.pdf",
         },
      ],
      source_lang: "en-US",
      title: "SAP Patchday Januar 2024",
      tracking: {
         current_release_date: "2024-01-08T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T18:03:20.756+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2024-0025",
         initial_release_date: "2024-01-08T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2024-01-08T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T031901",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2024-22125",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-22125",
      },
      {
         cve: "CVE-2024-22124",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-22124",
      },
      {
         cve: "CVE-2024-21738",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21738",
      },
      {
         cve: "CVE-2024-21737",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21737",
      },
      {
         cve: "CVE-2024-21736",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21736",
      },
      {
         cve: "CVE-2024-21735",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21735",
      },
      {
         cve: "CVE-2024-21734",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21734",
      },
      {
         cve: "CVE-2023-50424",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-50424",
      },
      {
         cve: "CVE-2023-50423",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-50423",
      },
      {
         cve: "CVE-2023-50422",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-50422",
      },
      {
         cve: "CVE-2023-49583",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-49583",
      },
      {
         cve: "CVE-2023-44487",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-44487",
      },
      {
         cve: "CVE-2023-31405",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-31405",
      },
   ],
}

WID-SEC-W-2023-3103

Vulnerability from csaf_certbund

Published

2023-12-11 23:00

Modified

2023-12-11 23:00

Summary

SAP Software: Mehrere Schwachstellen

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen um seine Privilegien zu erhöhen, Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - MacOS X - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen um seine Privilegien zu erhöhen, Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2023-3103 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-3103.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2023-3103 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-3103",
         },
         {
            category: "external",
            summary: "SAP Security Patch Day vom 2023-12-11",
            url: "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10",
         },
      ],
      source_lang: "en-US",
      title: "SAP Software: Mehrere Schwachstellen",
      tracking: {
         current_release_date: "2023-12-11T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T18:02:38.121+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2023-3103",
         initial_release_date: "2023-12-11T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2023-12-11T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T031077",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2023-6542",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-6542",
      },
      {
         cve: "CVE-2023-50424",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-50424",
      },
      {
         cve: "CVE-2023-50423",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-50423",
      },
      {
         cve: "CVE-2023-50422",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-50422",
      },
      {
         cve: "CVE-2023-49587",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49587",
      },
      {
         cve: "CVE-2023-49584",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49584",
      },
      {
         cve: "CVE-2023-49583",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49583",
      },
      {
         cve: "CVE-2023-49581",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49581",
      },
      {
         cve: "CVE-2023-49580",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49580",
      },
      {
         cve: "CVE-2023-49578",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49578",
      },
      {
         cve: "CVE-2023-49577",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49577",
      },
      {
         cve: "CVE-2023-49058",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49058",
      },
      {
         cve: "CVE-2023-42481",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-42481",
      },
      {
         cve: "CVE-2023-42479",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-42479",
      },
      {
         cve: "CVE-2023-42478",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-42478",
      },
      {
         cve: "CVE-2023-42476",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-42476",
      },
      {
         cve: "CVE-2023-36922",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-36922",
      },
      {
         cve: "CVE-2021-23413",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2021-23413",
      },
   ],
}

wid-sec-w-2024-0025

Vulnerability from csaf_certbund

Published

2024-01-08 23:00

Modified

2024-01-08 23:00

Summary

SAP Patchday Januar 2024

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter Angreifer kann mehrere Schwachstellen in SAP-Software ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2024-0025 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0025.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2024-0025 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0025",
         },
         {
            category: "external",
            summary: "SAP Patchday Januar 2024 vom 2024-01-08",
            url: "https://www.sap.com/docs/download/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.pdf",
         },
      ],
      source_lang: "en-US",
      title: "SAP Patchday Januar 2024",
      tracking: {
         current_release_date: "2024-01-08T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T18:03:20.756+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2024-0025",
         initial_release_date: "2024-01-08T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2024-01-08T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T031901",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2024-22125",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-22125",
      },
      {
         cve: "CVE-2024-22124",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-22124",
      },
      {
         cve: "CVE-2024-21738",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21738",
      },
      {
         cve: "CVE-2024-21737",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21737",
      },
      {
         cve: "CVE-2024-21736",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21736",
      },
      {
         cve: "CVE-2024-21735",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21735",
      },
      {
         cve: "CVE-2024-21734",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2024-21734",
      },
      {
         cve: "CVE-2023-50424",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-50424",
      },
      {
         cve: "CVE-2023-50423",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-50423",
      },
      {
         cve: "CVE-2023-50422",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-50422",
      },
      {
         cve: "CVE-2023-49583",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-49583",
      },
      {
         cve: "CVE-2023-44487",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-44487",
      },
      {
         cve: "CVE-2023-31405",
         notes: [
            {
               category: "description",
               text: "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzulässige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen.",
            },
         ],
         product_status: {
            known_affected: [
               "T031901",
            ],
         },
         release_date: "2024-01-08T23:00:00.000+00:00",
         title: "CVE-2023-31405",
      },
   ],
}

wid-sec-w-2023-3103

Vulnerability from csaf_certbund

Published

2023-12-11 23:00

Modified

2023-12-11 23:00

Summary

SAP Software: Mehrere Schwachstellen

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Betroffene Betriebssysteme

- UNIX - Linux - MacOS X - Windows - Sonstiges

JSON

To clipboard

{
   document: {
      aggregate_severity: {
         text: "hoch",
      },
      category: "csaf_base",
      csaf_version: "2.0",
      distribution: {
         tlp: {
            label: "WHITE",
            url: "https://www.first.org/tlp/",
         },
      },
      lang: "de-DE",
      notes: [
         {
            category: "legal_disclaimer",
            text: "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.",
         },
         {
            category: "description",
            text: "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
            title: "Produktbeschreibung",
         },
         {
            category: "summary",
            text: "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen um seine Privilegien zu erhöhen, Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.",
            title: "Angriff",
         },
         {
            category: "general",
            text: "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
            title: "Betroffene Betriebssysteme",
         },
      ],
      publisher: {
         category: "other",
         contact_details: "csaf-provider@cert-bund.de",
         name: "Bundesamt für Sicherheit in der Informationstechnik",
         namespace: "https://www.bsi.bund.de",
      },
      references: [
         {
            category: "self",
            summary: "WID-SEC-W-2023-3103 - CSAF Version",
            url: "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-3103.json",
         },
         {
            category: "self",
            summary: "WID-SEC-2023-3103 - Portal Version",
            url: "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-3103",
         },
         {
            category: "external",
            summary: "SAP Security Patch Day vom 2023-12-11",
            url: "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10",
         },
      ],
      source_lang: "en-US",
      title: "SAP Software: Mehrere Schwachstellen",
      tracking: {
         current_release_date: "2023-12-11T23:00:00.000+00:00",
         generator: {
            date: "2024-08-15T18:02:38.121+00:00",
            engine: {
               name: "BSI-WID",
               version: "1.3.5",
            },
         },
         id: "WID-SEC-W-2023-3103",
         initial_release_date: "2023-12-11T23:00:00.000+00:00",
         revision_history: [
            {
               date: "2023-12-11T23:00:00.000+00:00",
               number: "1",
               summary: "Initiale Fassung",
            },
         ],
         status: "final",
         version: "1",
      },
   },
   product_tree: {
      branches: [
         {
            branches: [
               {
                  category: "product_name",
                  name: "SAP Software",
                  product: {
                     name: "SAP Software",
                     product_id: "T031077",
                     product_identification_helper: {
                        cpe: "cpe:/a:sap:sap:-",
                     },
                  },
               },
            ],
            category: "vendor",
            name: "SAP",
         },
      ],
   },
   vulnerabilities: [
      {
         cve: "CVE-2023-6542",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-6542",
      },
      {
         cve: "CVE-2023-50424",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-50424",
      },
      {
         cve: "CVE-2023-50423",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-50423",
      },
      {
         cve: "CVE-2023-50422",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-50422",
      },
      {
         cve: "CVE-2023-49587",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49587",
      },
      {
         cve: "CVE-2023-49584",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49584",
      },
      {
         cve: "CVE-2023-49583",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49583",
      },
      {
         cve: "CVE-2023-49581",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49581",
      },
      {
         cve: "CVE-2023-49580",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49580",
      },
      {
         cve: "CVE-2023-49578",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49578",
      },
      {
         cve: "CVE-2023-49577",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49577",
      },
      {
         cve: "CVE-2023-49058",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-49058",
      },
      {
         cve: "CVE-2023-42481",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-42481",
      },
      {
         cve: "CVE-2023-42479",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-42479",
      },
      {
         cve: "CVE-2023-42478",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-42478",
      },
      {
         cve: "CVE-2023-42476",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-42476",
      },
      {
         cve: "CVE-2023-36922",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2023-36922",
      },
      {
         cve: "CVE-2021-23413",
         notes: [
            {
               category: "description",
               text: "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungenügende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungenügende Eingabeüberprüfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung.",
            },
         ],
         product_status: {
            known_affected: [
               "T031077",
            ],
         },
         release_date: "2023-12-11T23:00:00.000+00:00",
         title: "CVE-2021-23413",
      },
   ],
}

ghsa-gcgw-q47m-prvj

Vulnerability from github

Published

2023-12-12 03:31

Modified

2024-09-30 18:52

Severity ?

9.1 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Summary

Duplicate Advisory: Improper JWT Signature Validation in SAP Security Services Library

Details

Duplicate Advisory

This advisory has been withdrawn because it is a duplicate of GHSA-59c9-pxq8-9c73. This link is maintained to preserve external references.

Original Description

Show details on source website

JSON

To clipboard

{
   affected: [
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security:java-security",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "0",
                  },
                  {
                     fixed: "2.17.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security:java-security",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "3.0.0",
                  },
                  {
                     fixed: "3.3.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security.xsuaa:spring-xsuaa",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "0",
                  },
                  {
                     fixed: "2.17.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security.xsuaa:spring-xsuaa",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "3.0.0",
                  },
                  {
                     fixed: "3.3.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security:spring-security",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "0",
                  },
                  {
                     fixed: "2.17.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security:spring-security",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "3.0.0",
                  },
                  {
                     fixed: "3.3.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
   ],
   aliases: [],
   database_specific: {
      cwe_ids: [
         "CWE-269",
         "CWE-639",
         "CWE-749",
      ],
      github_reviewed: true,
      github_reviewed_at: "2023-12-15T03:53:07Z",
      nvd_published_at: "2023-12-12T02:15:08Z",
      severity: "CRITICAL",
   },
   details: "## Duplicate Advisory\nThis advisory has been withdrawn because it is a duplicate of GHSA-59c9-pxq8-9c73. This link is maintained to preserve external references.\n\n## Original Description\nSAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.\n\n",
   id: "GHSA-gcgw-q47m-prvj",
   modified: "2024-09-30T18:52:44Z",
   published: "2023-12-12T03:31:45Z",
   references: [
      {
         type: "WEB",
         url: "https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73",
      },
      {
         type: "ADVISORY",
         url: "https://nvd.nist.gov/vuln/detail/CVE-2023-50422",
      },
      {
         type: "WEB",
         url: "https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067",
      },
      {
         type: "PACKAGE",
         url: "https://github.com/SAP/cloud-security-services-integration-library",
      },
      {
         type: "WEB",
         url: "https://me.sap.com/notes/3411067",
      },
      {
         type: "WEB",
         url: "https://me.sap.com/notes/3413475",
      },
      {
         type: "WEB",
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa",
      },
      {
         type: "WEB",
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security/java-security",
      },
      {
         type: "WEB",
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security",
      },
      {
         type: "WEB",
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
   ],
   schema_version: "1.4.0",
   severity: [
      {
         score: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N",
         type: "CVSS_V3",
      },
   ],
   summary: "Duplicate Advisory: Improper JWT Signature Validation in SAP Security Services Library ",
   withdrawn: "2024-09-30T18:52:44Z",
}

ghsa-59c9-pxq8-9c73

Vulnerability from github

Published

2023-12-13 13:33

Modified

2024-09-30 19:44

Severity ?

9.1 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
9.3 (Critical) - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

Summary

Improper JWT Signature Validation in SAP Security Services Library

Details

Impact

SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) allows under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.

Patches

Upgrade to patched version >= 2.17.0 or >= 3.3.0 We always recommend to upgrade to the latest released version.

Workarounds

No workarounds

References

https://www.cve.org/CVERecord?id=CVE-2023-50422

Show details on source website

JSON

To clipboard

{
   affected: [
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security:java-security",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "0",
                  },
                  {
                     fixed: "2.17.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security:java-security",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "3.0.0",
                  },
                  {
                     fixed: "3.3.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security:spring-security",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "0",
                  },
                  {
                     fixed: "2.17.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security:spring-security",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "3.0.0",
                  },
                  {
                     fixed: "3.3.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security.xsuaa:spring-xsuaa",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "0",
                  },
                  {
                     fixed: "2.17.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
      {
         package: {
            ecosystem: "Maven",
            name: "com.sap.cloud.security.xsuaa:spring-xsuaa",
         },
         ranges: [
            {
               events: [
                  {
                     introduced: "3.0.0",
                  },
                  {
                     fixed: "3.3.0",
                  },
               ],
               type: "ECOSYSTEM",
            },
         ],
      },
   ],
   aliases: [
      "CVE-2023-50422",
   ],
   database_specific: {
      cwe_ids: [
         "CWE-269",
      ],
      github_reviewed: true,
      github_reviewed_at: "2023-12-13T13:33:57Z",
      nvd_published_at: null,
      severity: "CRITICAL",
   },
   details: "### Impact\nSAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) allows under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.\n\n### Patches\nUpgrade to patched version >= 2.17.0 or >= 3.3.0 \nWe always recommend to upgrade to the latest released version.\n\n### Workarounds\nNo workarounds\n\n### References\nhttps://www.cve.org/CVERecord?id=CVE-2023-50422\n",
   id: "GHSA-59c9-pxq8-9c73",
   modified: "2024-09-30T19:44:16Z",
   published: "2023-12-13T13:33:57Z",
   references: [
      {
         type: "WEB",
         url: "https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73",
      },
      {
         type: "ADVISORY",
         url: "https://nvd.nist.gov/vuln/detail/CVE-2023-50422",
      },
      {
         type: "WEB",
         url: "https://github.com/SAP/cloud-security-services-integration-library/commit/4b3e42ab23df6418243b29908b1a2582818d9360",
      },
      {
         type: "WEB",
         url: "https://github.com/SAP/cloud-security-services-integration-library/commit/7ce9601979c30ae269a1cbaf7cf33486d10736f1",
      },
      {
         type: "WEB",
         url: "https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067",
      },
      {
         type: "WEB",
         url: "https://en.wikipedia.org/wiki/JSON_Web_Token",
      },
      {
         type: "PACKAGE",
         url: "https://github.com/SAP/cloud-security-services-integration-library",
      },
      {
         type: "WEB",
         url: "https://me.sap.com/notes/3411067",
      },
      {
         type: "WEB",
         url: "https://me.sap.com/notes/3413475",
      },
      {
         type: "WEB",
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa",
      },
      {
         type: "WEB",
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security/java-security",
      },
      {
         type: "WEB",
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security",
      },
      {
         type: "WEB",
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
   ],
   schema_version: "1.4.0",
   severity: [
      {
         score: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N",
         type: "CVSS_V3",
      },
      {
         score: "CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N",
         type: "CVSS_V4",
      },
   ],
   summary: "Improper JWT Signature Validation in SAP Security Services Library ",
}

gsd-2023-50422

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

Aliases

CVE-2023-50422

Aliases

CVE-2023-50422

JSON

To clipboard

{
   GSD: {
      alias: "CVE-2023-50422",
      id: "GSD-2023-50422",
   },
   gsd: {
      metadata: {
         exploitCode: "unknown",
         remediation: "unknown",
         reportConfidence: "confirmed",
         type: "vulnerability",
      },
      osvSchema: {
         aliases: [
            "CVE-2023-50422",
         ],
         details: "SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.\n\n",
         id: "GSD-2023-50422",
         modified: "2023-12-13T01:20:31.319737Z",
         schema_version: "1.4.0",
      },
   },
   namespaces: {
      "cve.org": {
         CVE_data_meta: {
            ASSIGNER: "cna@sap.com",
            ID: "CVE-2023-50422",
            STATE: "PUBLIC",
         },
         affects: {
            vendor: {
               vendor_data: [
                  {
                     product: {
                        product_data: [
                           {
                              product_name: "cloud-security-services-integration-library",
                              version: {
                                 version_data: [
                                    {
                                       version_affected: "=",
                                       version_value: "< 2.17.0",
                                    },
                                    {
                                       version_affected: "<",
                                       version_name: "3.0.0",
                                       version_value: "3.3.0",
                                    },
                                 ],
                              },
                           },
                        ],
                     },
                     vendor_name: "SAP_SE",
                  },
               ],
            },
         },
         data_format: "MITRE",
         data_type: "CVE",
         data_version: "4.0",
         description: {
            description_data: [
               {
                  lang: "eng",
                  value: "SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.\n\n",
               },
            ],
         },
         generator: {
            engine: "Vulnogram 0.1.0-dev",
         },
         impact: {
            cvss: [
               {
                  attackComplexity: "LOW",
                  attackVector: "NETWORK",
                  availabilityImpact: "NONE",
                  baseScore: 9.1,
                  baseSeverity: "CRITICAL",
                  confidentialityImpact: "HIGH",
                  integrityImpact: "HIGH",
                  privilegesRequired: "NONE",
                  scope: "UNCHANGED",
                  userInteraction: "NONE",
                  vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N",
                  version: "3.1",
               },
            ],
         },
         problemtype: {
            problemtype_data: [
               {
                  description: [
                     {
                        cweId: "CWE-269",
                        lang: "eng",
                        value: "CWE-269 Improper Privilege Management",
                     },
                  ],
               },
            ],
         },
         references: {
            reference_data: [
               {
                  name: "https://me.sap.com/notes/3411067",
                  refsource: "MISC",
                  url: "https://me.sap.com/notes/3411067",
               },
               {
                  name: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
                  refsource: "MISC",
                  url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
               },
               {
                  name: "https://github.com/SAP/cloud-security-services-integration-library/",
                  refsource: "MISC",
                  url: "https://github.com/SAP/cloud-security-services-integration-library/",
               },
               {
                  name: "https://mvnrepository.com/artifact/com.sap.cloud.security/java-security",
                  refsource: "MISC",
                  url: "https://mvnrepository.com/artifact/com.sap.cloud.security/java-security",
               },
               {
                  name: "https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security",
                  refsource: "MISC",
                  url: "https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security",
               },
               {
                  name: "https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa",
                  refsource: "MISC",
                  url: "https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa",
               },
               {
                  name: "https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/",
                  refsource: "MISC",
                  url: "https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/",
               },
               {
                  name: "https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73",
                  refsource: "MISC",
                  url: "https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73",
               },
               {
                  name: "https://me.sap.com/notes/3413475",
                  refsource: "MISC",
                  url: "https://me.sap.com/notes/3413475",
               },
            ],
         },
         source: {
            discovery: "UNKNOWN",
         },
      },
      "nvd.nist.gov": {
         cve: {
            configurations: [
               {
                  nodes: [
                     {
                        cpeMatch: [
                           {
                              criteria: "cpe:2.3:a:sap:cloud-security-services-integration-library:*:*:*:*:*:java:*:*",
                              matchCriteriaId: "EA00D38E-621A-4114-8F4F-F0AA3C41E88F",
                              versionEndExcluding: "2.17.0",
                              vulnerable: true,
                           },
                           {
                              criteria: "cpe:2.3:a:sap:cloud-security-services-integration-library:*:*:*:*:*:java:*:*",
                              matchCriteriaId: "4C7EE7BE-CA31-4B97-B455-41F66AEE85E9",
                              versionEndExcluding: "3.3.0",
                              versionStartIncluding: "3.0.0",
                              vulnerable: true,
                           },
                        ],
                        negate: false,
                        operator: "OR",
                     },
                  ],
               },
            ],
            descriptions: [
               {
                  lang: "en",
                  value: "SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.\n\n",
               },
               {
                  lang: "es",
                  value: "SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library): las versiones inferiores a 2.17.0 y las versiones desde 3.0.0 hasta anteriores a 3.3.0 permiten, bajo ciertas condiciones, una escalada de privilegios. Si la explotación tiene éxito, un atacante no autenticado puede obtener permisos arbitrarios dentro de la aplicación.",
               },
            ],
            id: "CVE-2023-50422",
            lastModified: "2024-01-09T02:15:45.420",
            metrics: {
               cvssMetricV31: [
                  {
                     cvssData: {
                        attackComplexity: "LOW",
                        attackVector: "NETWORK",
                        availabilityImpact: "HIGH",
                        baseScore: 9.8,
                        baseSeverity: "CRITICAL",
                        confidentialityImpact: "HIGH",
                        integrityImpact: "HIGH",
                        privilegesRequired: "NONE",
                        scope: "UNCHANGED",
                        userInteraction: "NONE",
                        vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H",
                        version: "3.1",
                     },
                     exploitabilityScore: 3.9,
                     impactScore: 5.9,
                     source: "nvd@nist.gov",
                     type: "Primary",
                  },
                  {
                     cvssData: {
                        attackComplexity: "LOW",
                        attackVector: "NETWORK",
                        availabilityImpact: "NONE",
                        baseScore: 9.1,
                        baseSeverity: "CRITICAL",
                        confidentialityImpact: "HIGH",
                        integrityImpact: "HIGH",
                        privilegesRequired: "NONE",
                        scope: "UNCHANGED",
                        userInteraction: "NONE",
                        vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N",
                        version: "3.1",
                     },
                     exploitabilityScore: 3.9,
                     impactScore: 5.2,
                     source: "cna@sap.com",
                     type: "Secondary",
                  },
               ],
            },
            published: "2023-12-12T02:15:08.587",
            references: [
               {
                  source: "cna@sap.com",
                  tags: [
                     "Vendor Advisory",
                  ],
                  url: "https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/",
               },
               {
                  source: "cna@sap.com",
                  tags: [
                     "Product",
                  ],
                  url: "https://github.com/SAP/cloud-security-services-integration-library/",
               },
               {
                  source: "cna@sap.com",
                  tags: [
                     "Vendor Advisory",
                  ],
                  url: "https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73",
               },
               {
                  source: "cna@sap.com",
                  tags: [
                     "Permissions Required",
                  ],
                  url: "https://me.sap.com/notes/3411067",
               },
               {
                  source: "cna@sap.com",
                  url: "https://me.sap.com/notes/3413475",
               },
               {
                  source: "cna@sap.com",
                  tags: [
                     "Product",
                  ],
                  url: "https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa",
               },
               {
                  source: "cna@sap.com",
                  tags: [
                     "Product",
                  ],
                  url: "https://mvnrepository.com/artifact/com.sap.cloud.security/java-security",
               },
               {
                  source: "cna@sap.com",
                  tags: [
                     "Product",
                  ],
                  url: "https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security",
               },
               {
                  source: "cna@sap.com",
                  tags: [
                     "Vendor Advisory",
                  ],
                  url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
               },
            ],
            sourceIdentifier: "cna@sap.com",
            vulnStatus: "Modified",
            weaknesses: [
               {
                  description: [
                     {
                        lang: "en",
                        value: "CWE-269",
                     },
                  ],
                  source: "cna@sap.com",
                  type: "Primary",
               },
            ],
         },
      },
   },
}

fkie_cve-2023-50422

Vulnerability from fkie_nvd

Published

2023-12-12 02:15

Modified

2024-11-21 08:36

Severity ?

9.1 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
9.8 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Summary

References

URL	Tags
cna@sap.com	https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/	Vendor Advisory
cna@sap.com	https://github.com/SAP/cloud-security-services-integration-library/	Product
cna@sap.com	https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73	Vendor Advisory
cna@sap.com	https://me.sap.com/notes/3411067	Permissions Required
cna@sap.com	https://me.sap.com/notes/3413475
cna@sap.com	https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa	Product
cna@sap.com	https://mvnrepository.com/artifact/com.sap.cloud.security/java-security	Product
cna@sap.com	https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security	Product
cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://github.com/SAP/cloud-security-services-integration-library/	Product
af854a3a-2127-422b-91ae-364da2661108	https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3411067	Permissions Required
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3413475
af854a3a-2127-422b-91ae-364da2661108	https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa	Product
af854a3a-2127-422b-91ae-364da2661108	https://mvnrepository.com/artifact/com.sap.cloud.security/java-security	Product
af854a3a-2127-422b-91ae-364da2661108	https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security	Product
af854a3a-2127-422b-91ae-364da2661108	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

Impacted products

	Vendor	Product	Version
	sap	cloud-security-services-integration-library	*
	sap	cloud-security-services-integration-library	*

JSON

To clipboard

{
   configurations: [
      {
         nodes: [
            {
               cpeMatch: [
                  {
                     criteria: "cpe:2.3:a:sap:cloud-security-services-integration-library:*:*:*:*:*:java:*:*",
                     matchCriteriaId: "EA00D38E-621A-4114-8F4F-F0AA3C41E88F",
                     versionEndExcluding: "2.17.0",
                     vulnerable: true,
                  },
                  {
                     criteria: "cpe:2.3:a:sap:cloud-security-services-integration-library:*:*:*:*:*:java:*:*",
                     matchCriteriaId: "4C7EE7BE-CA31-4B97-B455-41F66AEE85E9",
                     versionEndExcluding: "3.3.0",
                     versionStartIncluding: "3.0.0",
                     vulnerable: true,
                  },
               ],
               negate: false,
               operator: "OR",
            },
         ],
      },
   ],
   cveTags: [],
   descriptions: [
      {
         lang: "en",
         value: "SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library) - versions below 2.17.0 and versions from 3.0.0 to before 3.3.0, allow under certain conditions an escalation of privileges. On successful exploitation, an unauthenticated attacker can obtain arbitrary permissions within the application.",
      },
      {
         lang: "es",
         value: "SAP BTP Security Services Integration Library ([Java] cloud-security-services-integration-library): las versiones inferiores a 2.17.0 y las versiones desde 3.0.0 hasta anteriores a 3.3.0 permiten, bajo ciertas condiciones, una escalada de privilegios. Si la explotación tiene éxito, un atacante no autenticado puede obtener permisos arbitrarios dentro de la aplicación.",
      },
   ],
   id: "CVE-2023-50422",
   lastModified: "2024-11-21T08:36:57.380",
   metrics: {
      cvssMetricV31: [
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "NONE",
               baseScore: 9.1,
               baseSeverity: "CRITICAL",
               confidentialityImpact: "HIGH",
               integrityImpact: "HIGH",
               privilegesRequired: "NONE",
               scope: "UNCHANGED",
               userInteraction: "NONE",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N",
               version: "3.1",
            },
            exploitabilityScore: 3.9,
            impactScore: 5.2,
            source: "cna@sap.com",
            type: "Secondary",
         },
         {
            cvssData: {
               attackComplexity: "LOW",
               attackVector: "NETWORK",
               availabilityImpact: "HIGH",
               baseScore: 9.8,
               baseSeverity: "CRITICAL",
               confidentialityImpact: "HIGH",
               integrityImpact: "HIGH",
               privilegesRequired: "NONE",
               scope: "UNCHANGED",
               userInteraction: "NONE",
               vectorString: "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H",
               version: "3.1",
            },
            exploitabilityScore: 3.9,
            impactScore: 5.9,
            source: "nvd@nist.gov",
            type: "Primary",
         },
      ],
   },
   published: "2023-12-12T02:15:08.587",
   references: [
      {
         source: "cna@sap.com",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Product",
         ],
         url: "https://github.com/SAP/cloud-security-services-integration-library/",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Permissions Required",
         ],
         url: "https://me.sap.com/notes/3411067",
      },
      {
         source: "cna@sap.com",
         url: "https://me.sap.com/notes/3413475",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Product",
         ],
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Product",
         ],
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security/java-security",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Product",
         ],
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security",
      },
      {
         source: "cna@sap.com",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://blogs.sap.com/2023/12/12/unveiling-critical-security-updates-sap-btp-security-note-3411067/",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Product",
         ],
         url: "https://github.com/SAP/cloud-security-services-integration-library/",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://github.com/SAP/cloud-security-services-integration-library/security/advisories/GHSA-59c9-pxq8-9c73",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Permissions Required",
         ],
         url: "https://me.sap.com/notes/3411067",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         url: "https://me.sap.com/notes/3413475",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Product",
         ],
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security.xsuaa/spring-xsuaa",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Product",
         ],
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security/java-security",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Product",
         ],
         url: "https://mvnrepository.com/artifact/com.sap.cloud.security/spring-security",
      },
      {
         source: "af854a3a-2127-422b-91ae-364da2661108",
         tags: [
            "Vendor Advisory",
         ],
         url: "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
      },
   ],
   sourceIdentifier: "cna@sap.com",
   vulnStatus: "Modified",
   weaknesses: [
      {
         description: [
            {
               lang: "en",
               value: "CWE-749",
            },
         ],
         source: "cna@sap.com",
         type: "Primary",
      },
   ],
}

All sightings related to this event Export sightings related to this event

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

Vulnerability from cvelistv5

Vulnerability from csaf_certbund

Vulnerability from csaf_certbund

Vulnerability from csaf_certbund

Vulnerability from csaf_certbund

Vulnerability from github

Duplicate Advisory

Original Description

Vulnerability from github

Impact

Patches

Workarounds

References

Vulnerability from gsd

Vulnerability from fkie_nvd

Tags

Sightings

Nomenclature