cvelistv5 - cve-2024-21738

▼	URL	Tags
	cna@sap.com	https://me.sap.com/notes/3387737	Permissions Required
	cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

▼	Vendor	Product
	SAP_SE	SAP NetWeaver ABAP Application Server and ABAP Platform

gsd-2024-21738

Vulnerability from gsd

Modified

2024-01-02 06:02

Details

SAP NetWeaver ABAP Application Server and ABAP Platform do not sufficiently encode user-controlled inputs, resulting in Cross-Site Scripting (XSS) vulnerability. An attacker with low privileges can cause limited impact to confidentiality of the application data after successful exploitation.

Aliases

CVE-2024-21738

JSON

To clipboard

{
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2024-21738"
      ],
      "details": "SAP NetWeaver ABAP Application Server and ABAP Platform do not sufficiently encode user-controlled inputs, resulting in Cross-Site Scripting (XSS) vulnerability.\u00a0An attacker with low privileges can cause limited impact to confidentiality of the application data after successful exploitation.\n\n",
      "id": "GSD-2024-21738",
      "modified": "2024-01-02T06:02:06.494223Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "cna@sap.com",
        "ID": "CVE-2024-21738",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "SAP NetWeaver ABAP Application Server and ABAP Platform",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 700"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 701"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 702"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 731"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 740"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 750"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 751"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 752"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 753"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 754"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 755"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 756"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 757"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 758"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 793"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SAP_BASIS 794"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "SAP_SE"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "SAP NetWeaver ABAP Application Server and ABAP Platform do not sufficiently encode user-controlled inputs, resulting in Cross-Site Scripting (XSS) vulnerability.\u00a0An attacker with low privileges can cause limited impact to confidentiality of the application data after successful exploitation.\n\n"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 4.1,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "LOW",
            "integrityImpact": "NONE",
            "privilegesRequired": "LOW",
            "scope": "CHANGED",
            "userInteraction": "REQUIRED",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-79",
                "lang": "eng",
                "value": "CWE-79: Improper Neutralization of Input During Web Page Generation (\u0027Cross-site Scripting\u0027)"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://me.sap.com/notes/3387737",
            "refsource": "MISC",
            "url": "https://me.sap.com/notes/3387737"
          },
          {
            "name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
            "refsource": "MISC",
            "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "cve": {
        "configurations": [
          {
            "nodes": [
              {
                "cpeMatch": [
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:79:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "7E795D39-9D29-4CFC-BDB7-5E990A386647",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:700:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "6F048ED9-2DDF-4EB9-8571-73832AFABF6A",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:701:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "C37DC475-6B9A-493C-9A6F-28CDD65D2A5B",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:702:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "2BD9FE51-F76C-439A-A3C0-5279EC1059F7",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:731:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "4EB54432-0E1A-45F2-BEE1-8DC28FAADA9F",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:740:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "8E96C58C-ED44-487B-A67E-FDAE3C29023A",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:750:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "A14DF5EB-B8CE-4A47-9959-2F65A5DCEF5F",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:751:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "3E0CA53D-4335-4872-B527-30802E31B893",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:752:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "419BA423-0803-4F51-8889-014A521F02CE",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:753:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "DA20ECDC-8807-462C-A0F0-70DF6F5A119B",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:754:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "800AAC21-325C-4F16-AE5A-9F89327E5356",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:755:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "BDC15DB7-A95B-475F-AAA6-60A801F65690",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:756:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "55A2FECF-A32E-4188-9563-E8BA0E952261",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:757:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "9CBF2E53-17F0-4BF0-9C38-749C7E611BF4",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:758:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "5160572B-E3AB-4B96-8950-07DDAFA0E4A6",
                    "vulnerable": true
                  },
                  {
                    "criteria": "cpe:2.3:a:sap:netweaver_application_server_abap:793:*:*:*:sap_basis:*:*:*",
                    "matchCriteriaId": "AB104F44-D209-41D3-AE25-A5A4A8CE3323",
                    "vulnerable": true
                  }
                ],
                "negate": false,
                "operator": "OR"
              }
            ]
          }
        ],
        "descriptions": [
          {
            "lang": "en",
            "value": "SAP NetWeaver ABAP Application Server and ABAP Platform do not sufficiently encode user-controlled inputs, resulting in Cross-Site Scripting (XSS) vulnerability.\u00a0An attacker with low privileges can cause limited impact to confidentiality of the application data after successful exploitation.\n\n"
          },
          {
            "lang": "es",
            "value": "SAP NetWeaver ABAP Application Server y ABAP Platform no codifican suficientemente las entradas controladas por el usuario, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS). Un atacante con pocos privilegios puede causar un impacto limitado en la confidencialidad de los datos de la aplicaci\u00f3n despu\u00e9s de una explotaci\u00f3n exitosa."
          }
        ],
        "id": "CVE-2024-21738",
        "lastModified": "2024-01-11T22:54:02.190",
        "metrics": {
          "cvssMetricV31": [
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 5.4,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "LOW",
                "integrityImpact": "LOW",
                "privilegesRequired": "LOW",
                "scope": "CHANGED",
                "userInteraction": "REQUIRED",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 2.3,
              "impactScore": 2.7,
              "source": "nvd@nist.gov",
              "type": "Primary"
            },
            {
              "cvssData": {
                "attackComplexity": "LOW",
                "attackVector": "NETWORK",
                "availabilityImpact": "NONE",
                "baseScore": 4.1,
                "baseSeverity": "MEDIUM",
                "confidentialityImpact": "LOW",
                "integrityImpact": "NONE",
                "privilegesRequired": "LOW",
                "scope": "CHANGED",
                "userInteraction": "REQUIRED",
                "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N",
                "version": "3.1"
              },
              "exploitabilityScore": 2.3,
              "impactScore": 1.4,
              "source": "cna@sap.com",
              "type": "Secondary"
            }
          ]
        },
        "published": "2024-01-09T02:15:46.020",
        "references": [
          {
            "source": "cna@sap.com",
            "tags": [
              "Permissions Required"
            ],
            "url": "https://me.sap.com/notes/3387737"
          },
          {
            "source": "cna@sap.com",
            "tags": [
              "Vendor Advisory"
            ],
            "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
          }
        ],
        "sourceIdentifier": "cna@sap.com",
        "vulnStatus": "Analyzed",
        "weaknesses": [
          {
            "description": [
              {
                "lang": "en",
                "value": "CWE-79"
              }
            ],
            "source": "cna@sap.com",
            "type": "Primary"
          }
        ]
      }
    }
  }
}

wid-sec-w-2024-0025

Vulnerability from csaf_certbund

Published

2024-01-08 23:00

Modified

2024-01-08 23:00

Summary

SAP Patchday Januar 2024

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter Angreifer kann mehrere Schwachstellen in SAP-Software ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter Angreifer kann mehrere Schwachstellen in SAP-Software ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0025 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0025.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0025 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0025"
      },
      {
        "category": "external",
        "summary": "SAP Patchday Januar 2024 vom 2024-01-08",
        "url": "https://www.sap.com/docs/download/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.pdf"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patchday Januar 2024",
    "tracking": {
      "current_release_date": "2024-01-08T23:00:00.000+00:00",
      "generator": {
        "date": "2024-02-15T17:55:39.685+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.0"
        }
      },
      "id": "WID-SEC-W-2024-0025",
      "initial_release_date": "2024-01-08T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-01-08T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T031901",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-22125",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2024-22125"
    },
    {
      "cve": "CVE-2024-22124",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2024-22124"
    },
    {
      "cve": "CVE-2024-21738",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2024-21738"
    },
    {
      "cve": "CVE-2024-21737",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2024-21737"
    },
    {
      "cve": "CVE-2024-21736",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2024-21736"
    },
    {
      "cve": "CVE-2024-21735",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2024-21735"
    },
    {
      "cve": "CVE-2024-21734",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2024-21734"
    },
    {
      "cve": "CVE-2023-50424",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2023-50424"
    },
    {
      "cve": "CVE-2023-50423",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2023-50423"
    },
    {
      "cve": "CVE-2023-50422",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2023-50422"
    },
    {
      "cve": "CVE-2023-49583",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2023-49583"
    },
    {
      "cve": "CVE-2023-44487",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2023-44487"
    },
    {
      "cve": "CVE-2023-31405",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00Z",
      "title": "CVE-2023-31405"
    }
  ]
}

ghsa-ccxm-r356-vpjv

Vulnerability from github

Published

2024-01-09 03:30

Modified

2024-01-12 00:30

Severity ?

4.1 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

Details

SAP NetWeaver ABAP Application Server and ABAP Platform do not sufficiently encode user-controlled inputs, resulting in Cross-Site Scripting (XSS) vulnerability. An attacker with low privileges can cause limited impact to confidentiality of the application data after successful exploitation.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2024-21738"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-79"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-01-09T02:15:46Z",
    "severity": "MODERATE"
  },
  "details": "SAP NetWeaver ABAP Application Server and ABAP Platform do not sufficiently encode user-controlled inputs, resulting in Cross-Site Scripting (XSS) vulnerability.\u00a0An attacker with low privileges can cause limited impact to confidentiality of the application data after successful exploitation.\n\n",
  "id": "GHSA-ccxm-r356-vpjv",
  "modified": "2024-01-12T00:30:16Z",
  "published": "2024-01-09T03:30:22Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-21738"
    },
    {
      "type": "WEB",
      "url": "https://me.sap.com/notes/3387737"
    },
    {
      "type": "WEB",
      "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N",
      "type": "CVSS_V3"
    }
  ]
}

Action not permitted

cve-2024-21738

Vulnerability from cvelistv5

gsd-2024-21738

Vulnerability from gsd

wid-sec-w-2024-0025

Vulnerability from csaf_certbund

ghsa-ccxm-r356-vpjv

Vulnerability from github

Tags