cvelistv5 - CVE-2023-36922

CVE-2023-36922 (GCVE-0-2023-36922)

Vulnerability from cvelistv5

Published

2023-07-11 02:56

Modified

2024-08-02 17:01

Severity ?

9.1 (Critical) - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CWE

CWE-78 - Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

Summary

Due to programming error in function module and report, IS-OIL component in SAP ECC and SAP S/4HANA allows an authenticated attacker to inject an arbitrary operating system command into an unprotected parameter in a common (default) extension. On successful exploitation, the attacker can read or modify the system data as well as shut down the system.

References

►

URL

	Vendor	Product	Version
	SAP_SE	SAP ECC and SAP S/4HANA (IS-OIL)	Version: IS-OIL 600 Version: IS-OIL 602 Version: IS-OIL 603 Version: IS-OIL 604 Version: IS-OIL 605 Version: IS-OIL 606 Version: IS-OIL 617 Version: IS-OIL 618 Version: IS-OIL 800 Version: IS-OIL 802 Version: IS-OIL 803 Version: IS-OIL 804 Version: IS-OIL 805 Version: IS-OIL 806 Version: IS-OIL 807

fkie_cve-2023-36922

Vulnerability from fkie_nvd

Published

2023-07-11 03:15

Modified

2024-11-21 08:10

Severity ?

9.1 (Critical) - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
8.8 (High) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Summary

References

URL	Tags
cna@sap.com	https://me.sap.com/notes/3350297	Permissions Required
cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3350297	Permissions Required
af854a3a-2127-422b-91ae-364da2661108	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

Impacted products

Vendor	Product	Version
sap	netweaver	600
sap	netweaver	602
sap	netweaver	603
sap	netweaver	604
sap	netweaver	605
sap	netweaver	606
sap	netweaver	617
sap	netweaver	618
sap	netweaver	800
sap	netweaver	802
sap	netweaver	803
sap	netweaver	804
sap	netweaver	805
sap	netweaver	806
sap	netweaver	807

JSON

To clipboard

{
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:sap:netweaver:600:*:*:*:*:*:*:*",
              "matchCriteriaId": "BDC771C8-70C7-4EA4-BF13-9153175F652F",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:602:*:*:*:*:*:*:*",
              "matchCriteriaId": "D95174DD-6513-469F-911D-61FEF490BF44",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:603:*:*:*:*:*:*:*",
              "matchCriteriaId": "A78F0A5A-514B-49C6-82E1-788049D4624A",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:604:*:*:*:*:*:*:*",
              "matchCriteriaId": "92CF95AB-7222-4BB9-A01B-CC9BB0548DBE",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:605:*:*:*:*:*:*:*",
              "matchCriteriaId": "8941EEEA-F588-419D-A72C-177A669D450B",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:606:*:*:*:*:*:*:*",
              "matchCriteriaId": "94616B3E-ADE0-45E2-A3B8-B545E7E0BB0F",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:617:*:*:*:*:*:*:*",
              "matchCriteriaId": "345E8B05-AE80-401D-895D-918136E5D738",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:618:*:*:*:*:*:*:*",
              "matchCriteriaId": "6B5038E3-5515-41C5-8C89-D839D5AE60DF",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:800:*:*:*:*:*:*:*",
              "matchCriteriaId": "4BE09533-102E-492F-ACAE-5B959885EE45",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:802:*:*:*:*:*:*:*",
              "matchCriteriaId": "70FA0AC8-D377-4800-9365-2EAD15C108C9",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:803:*:*:*:*:*:*:*",
              "matchCriteriaId": "364A7BFE-3EAE-4897-B198-BEE1DCEB2163",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:804:*:*:*:*:*:*:*",
              "matchCriteriaId": "2A119858-00D2-44CA-9C9D-9BEAFC8BD3CD",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:805:*:*:*:*:*:*:*",
              "matchCriteriaId": "5781D666-9439-4D4D-A0F6-DDA6763439CE",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:806:*:*:*:*:*:*:*",
              "matchCriteriaId": "19188AD7-2B5F-48E9-81B2-30A60F009432",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:netweaver:807:*:*:*:*:*:*:*",
              "matchCriteriaId": "5C4EDC18-FBD1-473C-82F8-940097CE8C1C",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "Due to programming error in function module and report, IS-OIL component in SAP ECC and SAP S/4HANA allows an authenticated attacker to inject an arbitrary operating system command into an unprotected parameter in a common (default) extension. \u00a0On successful exploitation, the attacker can read or modify the system data as well as shut down the system.\n\n"
    }
  ],
  "id": "CVE-2023-36922",
  "lastModified": "2024-11-21T08:10:55.903",
  "metrics": {
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "HIGH",
          "baseScore": 9.1,
          "baseSeverity": "CRITICAL",
          "confidentialityImpact": "HIGH",
          "integrityImpact": "HIGH",
          "privilegesRequired": "HIGH",
          "scope": "CHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H",
          "version": "3.1"
        },
        "exploitabilityScore": 2.3,
        "impactScore": 6.0,
        "source": "cna@sap.com",
        "type": "Secondary"
      },
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "HIGH",
          "baseScore": 8.8,
          "baseSeverity": "HIGH",
          "confidentialityImpact": "HIGH",
          "integrityImpact": "HIGH",
          "privilegesRequired": "LOW",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
          "version": "3.1"
        },
        "exploitabilityScore": 2.8,
        "impactScore": 5.9,
        "source": "nvd@nist.gov",
        "type": "Primary"
      }
    ]
  },
  "published": "2023-07-11T03:15:10.357",
  "references": [
    {
      "source": "cna@sap.com",
      "tags": [
        "Permissions Required"
      ],
      "url": "https://me.sap.com/notes/3350297"
    },
    {
      "source": "cna@sap.com",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Permissions Required"
      ],
      "url": "https://me.sap.com/notes/3350297"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
    }
  ],
  "sourceIdentifier": "cna@sap.com",
  "vulnStatus": "Modified",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-78"
        }
      ],
      "source": "cna@sap.com",
      "type": "Secondary"
    },
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-78"
        }
      ],
      "source": "nvd@nist.gov",
      "type": "Primary"
    }
  ]
}

gsd-2023-36922

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

Aliases

CVE-2023-36922

Aliases

CVE-2023-36922

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2023-36922",
    "id": "GSD-2023-36922"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-36922"
      ],
      "details": "Due to programming error in function module and report, IS-OIL component in SAP ECC and SAP S/4HANA allows an authenticated attacker to inject an arbitrary operating system command into an unprotected parameter in a common (default) extension. \u00a0On successful exploitation, the attacker can read or modify the system data as well as shut down the system.\n\n",
      "id": "GSD-2023-36922",
      "modified": "2023-12-13T01:20:33.960069Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "cna@sap.com",
        "ID": "CVE-2023-36922",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "SAP ECC and SAP S/4HANA (IS-OIL)",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 600"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 602"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 603"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 604"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 605"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 606"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 617"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 618"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 800"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 802"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 803"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 804"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 805"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 806"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "IS-OIL 807"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "SAP_SE"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "Due to programming error in function module and report, IS-OIL component in SAP ECC and SAP S/4HANA allows an authenticated attacker to inject an arbitrary operating system command into an unprotected parameter in a common (default) extension. \u00a0On successful exploitation, the attacker can read or modify the system data as well as shut down the system.\n\n"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 9.1,
            "baseSeverity": "CRITICAL",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "HIGH",
            "privilegesRequired": "HIGH",
            "scope": "CHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-78",
                "lang": "eng",
                "value": "CWE-78: Improper Neutralization of Special Elements used in an OS Command (\u0027OS Command Injection\u0027)"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://me.sap.com/notes/3350297",
            "refsource": "MISC",
            "url": "https://me.sap.com/notes/3350297"
          },
          {
            "name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
            "refsource": "MISC",
            "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "configurations": {
        "CVE_data_version": "4.0",
        "nodes": [
          {
            "children": [],
            "cpe_match": [
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:600:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:602:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:603:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:604:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:605:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:606:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:617:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:618:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:800:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:802:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:803:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:804:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:805:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:806:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver:807:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              }
            ],
            "operator": "OR"
          }
        ]
      },
      "cve": {
        "CVE_data_meta": {
          "ASSIGNER": "cna@sap.com",
          "ID": "CVE-2023-36922"
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "en",
              "value": "Due to programming error in function module and report, IS-OIL component in SAP ECC and SAP S/4HANA allows an authenticated attacker to inject an arbitrary operating system command into an unprotected parameter in a common (default) extension. \u00a0On successful exploitation, the attacker can read or modify the system data as well as shut down the system.\n\n"
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "en",
                  "value": "CWE-78"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://me.sap.com/notes/3350297",
              "refsource": "MISC",
              "tags": [
                "Permissions Required"
              ],
              "url": "https://me.sap.com/notes/3350297"
            },
            {
              "name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
              "refsource": "MISC",
              "tags": [
                "Vendor Advisory"
              ],
              "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
            }
          ]
        }
      },
      "impact": {
        "baseMetricV3": {
          "cvssV3": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 8.8,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "HIGH",
            "privilegesRequired": "LOW",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
            "version": "3.1"
          },
          "exploitabilityScore": 2.8,
          "impactScore": 5.9
        }
      },
      "lastModifiedDate": "2023-12-09T17:15Z",
      "publishedDate": "2023-07-11T03:15Z"
    }
  }
}

ghsa-4qhp-mwrw-89jx

Vulnerability from github

Published

2023-07-11 03:30

Modified

2023-12-09 18:30

Severity ?

9.1 (Critical) - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Details

Due to programming error in function module or report, SAP NetWeaver ABAP (IS-OIL) - versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807, allows an authenticated attacker to inject an arbitrary operating system command into an unprotected parameter in a common (default) extension. On successful exploitation, the attacker can read or modify the system data as well as shut down the system.

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2023-36922"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-78"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2023-07-11T03:15:10Z",
    "severity": "HIGH"
  },
  "details": "Due to programming error in function module or report, SAP NetWeaver ABAP (IS-OIL) - versions 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806, 807, allows an authenticated attacker to\u00a0inject an arbitrary operating system command into an unprotected parameter in a common (default) extension.\u00a0\u00a0On successful exploitation, the attacker can read or modify the system data as well as shut down the system.\n\n",
  "id": "GHSA-4qhp-mwrw-89jx",
  "modified": "2023-12-09T18:30:25Z",
  "published": "2023-07-11T03:30:31Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-36922"
    },
    {
      "type": "WEB",
      "url": "https://me.sap.com/notes/3350297"
    },
    {
      "type": "WEB",
      "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H",
      "type": "CVSS_V3"
    }
  ]
}

wid-sec-w-2023-3103

Vulnerability from csaf_certbund

Published

2023-12-11 23:00

Modified

2023-12-11 23:00

Summary

SAP Software: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen um seine Privilegien zu erhöhen, Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - MacOS X - Windows - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen um seine Privilegien zu erh\u00f6hen, Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-3103 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-3103.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-3103 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-3103"
      },
      {
        "category": "external",
        "summary": "SAP Security Patch Day vom 2023-12-11",
        "url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Software: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-12-11T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:02:38.121+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-3103",
      "initial_release_date": "2023-12-11T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-12-11T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T031077",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-6542",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-6542"
    },
    {
      "cve": "CVE-2023-50424",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-50424"
    },
    {
      "cve": "CVE-2023-50423",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-50423"
    },
    {
      "cve": "CVE-2023-50422",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-50422"
    },
    {
      "cve": "CVE-2023-49587",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-49587"
    },
    {
      "cve": "CVE-2023-49584",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-49584"
    },
    {
      "cve": "CVE-2023-49583",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-49583"
    },
    {
      "cve": "CVE-2023-49581",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-49581"
    },
    {
      "cve": "CVE-2023-49580",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-49580"
    },
    {
      "cve": "CVE-2023-49578",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-49578"
    },
    {
      "cve": "CVE-2023-49577",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-49577"
    },
    {
      "cve": "CVE-2023-49058",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-49058"
    },
    {
      "cve": "CVE-2023-42481",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-42481"
    },
    {
      "cve": "CVE-2023-42479",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-42479"
    },
    {
      "cve": "CVE-2023-42478",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-42478"
    },
    {
      "cve": "CVE-2023-42476",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-42476"
    },
    {
      "cve": "CVE-2023-36922",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2023-36922"
    },
    {
      "cve": "CVE-2021-23413",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, Business Technology Platform (BTP), ECC, S/4HANA, Commerce Cloud, Business Objects, GUI for WIndows und GUI for Java, Solution Manager, Biller Direct, HCM, SAPUI5, Fiori Launchpad, NetWeaver Application Server, Master Data Governance und Cloud Connector. Die Ursachen sind unter anderem Command Injections, ungen\u00fcgende Zugriffskontrollen, Cross Site Scriptings, Directory Traversals, SQL Injections und ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen. Ein kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren, seine Rechte zu erweitern und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder Anmeldung."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031077"
        ]
      },
      "release_date": "2023-12-11T23:00:00.000+00:00",
      "title": "CVE-2021-23413"
    }
  ]
}

wid-sec-w-2023-1980

Vulnerability from csaf_certbund

Published

2023-08-07 22:00

Modified

2023-08-07 22:00

Summary

SAP Patchday August 2023

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuführen, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuführen, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuführen.

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-1980 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1980.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-1980 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1980"
      },
      {
        "category": "external",
        "summary": "SAP Security Patch Day August 2023 vom 2023-08-07",
        "url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patchday August 2023",
    "tracking": {
      "current_release_date": "2023-08-07T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:56:39.155+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-1980",
      "initial_release_date": "2023-08-07T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-08-07T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T016476",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-39440",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-39440"
    },
    {
      "cve": "CVE-2023-39439",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-39439"
    },
    {
      "cve": "CVE-2023-39437",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-39437"
    },
    {
      "cve": "CVE-2023-39436",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-39436"
    },
    {
      "cve": "CVE-2023-37492",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-37492"
    },
    {
      "cve": "CVE-2023-37491",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-37491"
    },
    {
      "cve": "CVE-2023-37490",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-37490"
    },
    {
      "cve": "CVE-2023-37488",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-37488"
    },
    {
      "cve": "CVE-2023-37487",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-37487"
    },
    {
      "cve": "CVE-2023-37486",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-37486"
    },
    {
      "cve": "CVE-2023-37484",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-37484"
    },
    {
      "cve": "CVE-2023-37483",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-37483"
    },
    {
      "cve": "CVE-2023-36926",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-36926"
    },
    {
      "cve": "CVE-2023-36923",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-36923"
    },
    {
      "cve": "CVE-2023-36922",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-36922"
    },
    {
      "cve": "CVE-2023-33993",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-33993"
    },
    {
      "cve": "CVE-2023-33989",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Diese bestehen in den Komponenten SAP PowerDesigner, B1i module of SAP Business One, SAP ECC, SAP S4/HANA, SAP Commerce Cloud, SAP Netweaver, SAP Business One, SAP BusinessObjects Business Intelligence Platform, SAP Message Server, SRM, SAP NetWeaver Process Integration, SAP Commerce (OCC API), SAP Supplier Relationship Management, SAP NetWeaver AS ABAP and ABAP Platform sowie SAP Host Agent. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren, Sicherheitsvorkehrungen zu umgehen oder einen Denial of Service Zustand herbeizuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-08-07T22:00:00.000+00:00",
      "title": "CVE-2023-33989"
    }
  ]
}

wid-sec-w-2023-1705

Vulnerability from csaf_certbund

Published

2023-07-10 22:00

Modified

2023-07-10 22:00

Summary

SAP Patchday Juli 2023

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuführen, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszulösen oder Informationen offenzulegen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuf\u00fchren, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszul\u00f6sen oder Informationen offenzulegen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-1705 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1705.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-1705 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1705"
      },
      {
        "category": "external",
        "summary": "SAP Patchday July 2023 vom 2023-07-11",
        "url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patchday Juli 2023",
    "tracking": {
      "current_release_date": "2023-07-10T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:55:14.247+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-1705",
      "initial_release_date": "2023-07-10T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-07-10T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T016476",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-36925",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36925"
    },
    {
      "cve": "CVE-2023-36924",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36924"
    },
    {
      "cve": "CVE-2023-36922",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36922"
    },
    {
      "cve": "CVE-2023-36921",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36921"
    },
    {
      "cve": "CVE-2023-36920",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36920"
    },
    {
      "cve": "CVE-2023-36919",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36919"
    },
    {
      "cve": "CVE-2023-36918",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36918"
    },
    {
      "cve": "CVE-2023-36917",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36917"
    },
    {
      "cve": "CVE-2023-35874",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35874"
    },
    {
      "cve": "CVE-2023-35873",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35873"
    },
    {
      "cve": "CVE-2023-35872",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35872"
    },
    {
      "cve": "CVE-2023-35871",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35871"
    },
    {
      "cve": "CVE-2023-35870",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35870"
    },
    {
      "cve": "CVE-2023-33992",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33992"
    },
    {
      "cve": "CVE-2023-33991",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33991"
    },
    {
      "cve": "CVE-2023-33990",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33990"
    },
    {
      "cve": "CVE-2023-33989",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33989"
    },
    {
      "cve": "CVE-2023-33988",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33988"
    },
    {
      "cve": "CVE-2023-33987",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33987"
    },
    {
      "cve": "CVE-2023-31405",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-31405"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CVE-2023-36922 (GCVE-0-2023-36922)

Vulnerability from cvelistv5

fkie_cve-2023-36922

Vulnerability from fkie_nvd

gsd-2023-36922

Vulnerability from gsd

ghsa-4qhp-mwrw-89jx

Vulnerability from github

wid-sec-w-2023-3103

Vulnerability from csaf_certbund

wid-sec-w-2023-1980

Vulnerability from csaf_certbund

wid-sec-w-2023-1705

Vulnerability from csaf_certbund

Tags

Sightings

Nomenclature