SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft.
Am schwersten wiegt eine Cross-Site-Scripting-Lücke im SAP Web Dispatcher. Ein nicht authentifizierter Angreifer kann einen bösartigen Link erstellen, den er öffentlich zugänglich macht. Wenn ein authentifiziertes Opfer auf diesen bösartigen Link klickt, werden die Eingabedaten von der Webseitengenerierung verwendet, um Inhalte zu erstellen, die, wenn sie im Browser des Opfers ausgeführt (XXS) oder an einen anderen Server übertragen (SSRF) werden, dem Angreifer die Möglichkeit geben, beliebigen Code auf dem Server auszuführen und damit die Vertraulichkeit, Integrität und Verfügbarkeit vollständig zu gefährden.
Der CVSS liegt bei 8.8, das bedeutet ein hohes Risiko und verfehlt den Schweregrad „kritisch“. IT-Verantwortliche sollten zügig das bereitstehende Update anwenden. SAP empfiehlt den Kunden dringend, das Support-Portalzu besuchen und die Patches mit Priorität anzuwenden, um ihre SAP-Landschaft zu schützen.
Weitere Informationen