An seinem Patch-Day hat SAP eine Liste mit 19 neuen Sicherheitslücken und passenden Updates veröffentlicht. Das ist auch nötig, denn in der Liste finden sich zwei kritische Lücken mit CVSS-Werten mit 9.9 von 10 und drei weitere kritische Lücken mit CVSS 9.6 bis 9.0.
Wie fast jeden Monat lohnt sich der Blick in den SAP Patch Day Blog. Der Monat März 2023 zeigt wieder eine große Liste an Sicherheitslücken. Von den 19 aufgeführten Sicherheitslücken und den passenden Updates sind nach dem Common Vulnerability Scoring System – CVSS – 5 als „Kritisch“, 4 als „Hochgefährlich“ und weitere 10 als „Mittelschwer“ eingestuft. Zwei der Schwachstellen gelten mit dem CVSS-Wert 9.9 als besonders gefährdet.
5 kritische Schwachstellen bei SAP
- CVE-2023-25616, CVSS 9.9: Code-Injection-Schwachstelle in SAP Business Objects Business Intelligence-Plattform (CMC)
- CVE-2023-23857, CVSS 9.9: Unzulässige Zugriffskontrolle in SAP NetWeaver AS for Java
- CVE-2023-27269, CVSS 9.6: Directory Traversal-Schwachstelle in SAP NetWeaver AS für ABAP und ABAP-Plattform
- CVE-2023-27500, CVSS 9.6: Directory-Traversal-Schwachstelle in SAP NetWeaver AS für ABAP und ABAP-Plattform (SAPRSBRO-Programm)
- CVE-2023-25617, CVSS 9.0: Sicherheitslücke bei der Ausführung von Betriebssystembefehlen in SAP Business Objects Business Intelligence-Plattform (Adaptive Job Server)
Weitere 4 Sicherheitslecks gelten als hochgefährlich und sollten ebenfalls schnell ein Update erfahren: CVE–2023–27893, CVE-2023-27501, CVE-2023-26459 (inkl. CVE-2023-25618), CVE-2023-27498. Deren CVSS-Wert liegt immerhin zwischen 8.8 und 7.2. Mit dem Wert 5.3 bis 6.8 finden sich noch 10 weitere Updates in der SAP-Liste.
Mehr bei SAP.com