cvelistv5 - cve-2023-31405

CVE-2023-31405 (GCVE-0-2023-31405)

Vulnerability from cvelistv5

Published

2023-07-11 02:23

Modified

2024-11-08 18:19

Severity ?

5.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

CWE

CWE-117 - Improper Output Neutralization for Logs

Summary

SAP NetWeaver AS for Java - versions ENGINEAPI 7.50, SERVERCORE 7.50, J2EE-APPS 7.50, allows an unauthenticated attacker to craft a request over the network which can result in unwarranted modifications to a system log without user interaction. There is no ability to view any information or any effect on availability.

References

►

URL

	Vendor	Product	Version
	SAP_SE	SAP NetWeaver AS for Java (Log Viewer)	Version: ENGINEAPI 7.50 Version: SERVERCORE 7.50 Version: J2EE-APPS 7.50

ghsa-735x-m7jj-qwvp

Vulnerability from github

Published

2023-07-11 03:30

Modified

2024-04-04 05:54

Severity ?

5.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Details

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2023-31405"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-117"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2023-07-11T03:15:09Z",
    "severity": "MODERATE"
  },
  "details": "SAP NetWeaver AS for Java - versions ENGINEAPI 7.50, SERVERCORE 7.50, J2EE-APPS 7.50, allows an unauthenticated attacker to craft a request over the network which can result in unwarranted modifications to a system log without user interaction. There is no ability to view any information or any effect on availability.\n\n",
  "id": "GHSA-735x-m7jj-qwvp",
  "modified": "2024-04-04T05:54:26Z",
  "published": "2023-07-11T03:30:30Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-31405"
    },
    {
      "type": "WEB",
      "url": "https://me.sap.com/notes/3324732"
    },
    {
      "type": "WEB",
      "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N",
      "type": "CVSS_V3"
    }
  ]
}

fkie_cve-2023-31405

Vulnerability from fkie_nvd

Published

2023-07-11 03:15

Modified

2024-11-21 08:01

Severity ?

5.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
5.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Summary

References

URL	Tags
cna@sap.com	https://me.sap.com/notes/3324732	Permissions Required
cna@sap.com	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	https://me.sap.com/notes/3324732	Permissions Required
af854a3a-2127-422b-91ae-364da2661108	https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html	Vendor Advisory

Impacted products

	Vendor	Product	Version
	sap	netweaver_application_server_for_java	7.50

JSON

To clipboard

{
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:sap:netweaver_application_server_for_java:7.50:*:*:*:*:*:*:*",
              "matchCriteriaId": "D7A80232-F2C2-4B40-A00C-25611D3409AC",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "SAP NetWeaver AS for Java - versions ENGINEAPI 7.50, SERVERCORE 7.50, J2EE-APPS 7.50, allows an unauthenticated attacker to craft a request over the network which can result in unwarranted modifications to a system log without user interaction. There is no ability to view any information or any effect on availability.\n\n"
    }
  ],
  "id": "CVE-2023-31405",
  "lastModified": "2024-11-21T08:01:47.697",
  "metrics": {
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 5.3,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "NONE",
          "integrityImpact": "LOW",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 1.4,
        "source": "cna@sap.com",
        "type": "Secondary"
      },
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 5.3,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "NONE",
          "integrityImpact": "LOW",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 1.4,
        "source": "nvd@nist.gov",
        "type": "Primary"
      }
    ]
  },
  "published": "2023-07-11T03:15:09.387",
  "references": [
    {
      "source": "cna@sap.com",
      "tags": [
        "Permissions Required"
      ],
      "url": "https://me.sap.com/notes/3324732"
    },
    {
      "source": "cna@sap.com",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Permissions Required"
      ],
      "url": "https://me.sap.com/notes/3324732"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
    }
  ],
  "sourceIdentifier": "cna@sap.com",
  "vulnStatus": "Modified",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-117"
        }
      ],
      "source": "cna@sap.com",
      "type": "Primary"
    }
  ]
}

wid-sec-w-2024-0025

Vulnerability from csaf_certbund

Published

2024-01-08 23:00

Modified

2024-01-08 23:00

Summary

SAP Patchday Januar 2024

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter Angreifer kann mehrere Schwachstellen in SAP-Software ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter Angreifer kann mehrere Schwachstellen in SAP-Software ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-0025 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0025.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-0025 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0025"
      },
      {
        "category": "external",
        "summary": "SAP Patchday Januar 2024 vom 2024-01-08",
        "url": "https://www.sap.com/docs/download/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.pdf"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patchday Januar 2024",
    "tracking": {
      "current_release_date": "2024-01-08T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T18:03:20.756+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2024-0025",
      "initial_release_date": "2024-01-08T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-01-08T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T031901",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-22125",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2024-22125"
    },
    {
      "cve": "CVE-2024-22124",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2024-22124"
    },
    {
      "cve": "CVE-2024-21738",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2024-21738"
    },
    {
      "cve": "CVE-2024-21737",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2024-21737"
    },
    {
      "cve": "CVE-2024-21736",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2024-21736"
    },
    {
      "cve": "CVE-2024-21735",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2024-21735"
    },
    {
      "cve": "CVE-2024-21734",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2024-21734"
    },
    {
      "cve": "CVE-2023-50424",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2023-50424"
    },
    {
      "cve": "CVE-2023-50423",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2023-50423"
    },
    {
      "cve": "CVE-2023-50422",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2023-50422"
    },
    {
      "cve": "CVE-2023-49583",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2023-49583"
    },
    {
      "cve": "CVE-2023-44487",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2023-44487"
    },
    {
      "cve": "CVE-2023-31405",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in der SAP-Software. Diese Fehler bestehen in mehreren Komponenten wie Business Application Studio, Application, Interface Framework, Web Dispatcher u.a. aufgrund mehrerer Sicherheitsprobleme wie Unzul\u00e4ssige Autorisierung oder URL-Umleitung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, einen Denial-of-Service-Zustand herbeizuf\u00fchren, vertrauliche Informationen offenzulegen, Dateien zu manipulieren, seine Privilegien zu erweitern oder Phishing- und Cross-Site-Scripting (XSS)-Angriffe durchzuf\u00fchren. Einige der Schwachstellen erfordern eine Benutzerinteraktion, um sie erfolgreich auszunutzen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T031901"
        ]
      },
      "release_date": "2024-01-08T23:00:00.000+00:00",
      "title": "CVE-2023-31405"
    }
  ]
}

wid-sec-w-2023-1705

Vulnerability from csaf_certbund

Published

2023-07-10 22:00

Modified

2023-07-10 22:00

Summary

SAP Patchday Juli 2023

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuführen, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszulösen oder Informationen offenzulegen.

Betroffene Betriebssysteme

- UNIX - Linux - Windows - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um beliebigen Code oder Betriebssystembefehle auszuf\u00fchren, Sicherheitsmechanismen zu umgehen, einen Denial of Service-Zustand auszul\u00f6sen oder Informationen offenzulegen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-1705 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1705.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-1705 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1705"
      },
      {
        "category": "external",
        "summary": "SAP Patchday July 2023 vom 2023-07-11",
        "url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patchday Juli 2023",
    "tracking": {
      "current_release_date": "2023-07-10T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:55:14.247+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-1705",
      "initial_release_date": "2023-07-10T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-07-10T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T016476",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-36925",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36925"
    },
    {
      "cve": "CVE-2023-36924",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36924"
    },
    {
      "cve": "CVE-2023-36922",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36922"
    },
    {
      "cve": "CVE-2023-36921",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36921"
    },
    {
      "cve": "CVE-2023-36920",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36920"
    },
    {
      "cve": "CVE-2023-36919",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36919"
    },
    {
      "cve": "CVE-2023-36918",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36918"
    },
    {
      "cve": "CVE-2023-36917",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-36917"
    },
    {
      "cve": "CVE-2023-35874",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35874"
    },
    {
      "cve": "CVE-2023-35873",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35873"
    },
    {
      "cve": "CVE-2023-35872",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35872"
    },
    {
      "cve": "CVE-2023-35871",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35871"
    },
    {
      "cve": "CVE-2023-35870",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-35870"
    },
    {
      "cve": "CVE-2023-33992",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33992"
    },
    {
      "cve": "CVE-2023-33991",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33991"
    },
    {
      "cve": "CVE-2023-33990",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33990"
    },
    {
      "cve": "CVE-2023-33989",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33989"
    },
    {
      "cve": "CVE-2023-33988",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33988"
    },
    {
      "cve": "CVE-2023-33987",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-33987"
    },
    {
      "cve": "CVE-2023-31405",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen SAP Softwareprodukten existieren mehrere Schwachstellen. Betroffen sind die Komponenten BusinessObjects Business Intelligence Platform, BW BICS, Enable Now, ERP Defense Forces, NetWeaver, S/4HANA, Solution Manager, SQL Anywhere und Web Dispatcher. Zu den Ursachen z\u00e4hlen Fehler in der Speicherverwaltung, unsachgem\u00e4\u00dfe Implementierungen bez\u00fcglich Authentisierung, Autorisierung und Berechtigungsvergabe, sowie ungen\u00fcgender Pr\u00fcfungen und Bereinigung von Eingaben. Ein Angreifer kann dadurch beliebigen Code oder Betriebssystemkommandos ausf\u00fchren, Sicherheitsmechanismen umgehen, einen Denial of Service Zustand herbeif\u00fchren oder Informationen offenlegen. F\u00fcr die Ausnutzung einiger dieser Schwachstellen ist keinerlei Authentisierung oder Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-07-10T22:00:00.000+00:00",
      "title": "CVE-2023-31405"
    }
  ]
}

wid-sec-w-2023-2600

Vulnerability from csaf_certbund

Published

2023-10-09 22:00

Modified

2023-10-09 22:00

Summary

SAP Patchday Oktober 2023

Notes

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - MacOS X - Windows - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-2600 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2600.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-2600 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2600"
      },
      {
        "category": "external",
        "summary": "SAP Security Patch Day - October 2023 vom 2023-10-09",
        "url": "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a\u0026rc=10"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Patchday Oktober 2023",
    "tracking": {
      "current_release_date": "2023-10-09T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:59:37.460+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-2600",
      "initial_release_date": "2023-10-09T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-10-09T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T016476",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-42477",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungspr\u00fcfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-10-09T22:00:00.000+00:00",
      "title": "CVE-2023-42477"
    },
    {
      "cve": "CVE-2023-42475",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungspr\u00fcfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-10-09T22:00:00.000+00:00",
      "title": "CVE-2023-42475"
    },
    {
      "cve": "CVE-2023-42474",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungspr\u00fcfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-10-09T22:00:00.000+00:00",
      "title": "CVE-2023-42474"
    },
    {
      "cve": "CVE-2023-42473",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungspr\u00fcfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-10-09T22:00:00.000+00:00",
      "title": "CVE-2023-42473"
    },
    {
      "cve": "CVE-2023-41365",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungspr\u00fcfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-10-09T22:00:00.000+00:00",
      "title": "CVE-2023-41365"
    },
    {
      "cve": "CVE-2023-40310",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungspr\u00fcfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-10-09T22:00:00.000+00:00",
      "title": "CVE-2023-40310"
    },
    {
      "cve": "CVE-2023-31405",
      "notes": [
        {
          "category": "description",
          "text": "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Business Client, BusinessObjects Web Intelligence, PowerDesigner, NetWeaver AS Java, S/4HANA, Business One (B1i) und Statutory Reporting unter anderem aufgrund einer fehlenden XML-Validierung, einer serverseitigen Request Forgery, einer fehlenden Berechtigungspr\u00fcfung und Log Injections. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T016476"
        ]
      },
      "release_date": "2023-10-09T22:00:00.000+00:00",
      "title": "CVE-2023-31405"
    }
  ]
}

gsd-2023-31405

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

Aliases

CVE-2023-31405

Aliases

CVE-2023-31405

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2023-31405",
    "id": "GSD-2023-31405"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-31405"
      ],
      "details": "SAP NetWeaver AS for Java - versions ENGINEAPI 7.50, SERVERCORE 7.50, J2EE-APPS 7.50, allows an unauthenticated attacker to craft a request over the network which can result in unwarranted modifications to a system log without user interaction. There is no ability to view any information or any effect on availability.\n\n",
      "id": "GSD-2023-31405",
      "modified": "2023-12-13T01:20:29.704222Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "cna@sap.com",
        "ID": "CVE-2023-31405",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "SAP NetWeaver AS for Java (Log Viewer)",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "=",
                          "version_value": "ENGINEAPI 7.50"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "SERVERCORE 7.50"
                        },
                        {
                          "version_affected": "=",
                          "version_value": "J2EE-APPS 7.50"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "SAP_SE"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "SAP NetWeaver AS for Java - versions ENGINEAPI 7.50, SERVERCORE 7.50, J2EE-APPS 7.50, allows an unauthenticated attacker to craft a request over the network which can result in unwarranted modifications to a system log without user interaction. There is no ability to view any information or any effect on availability.\n\n"
          }
        ]
      },
      "generator": {
        "engine": "Vulnogram 0.1.0-dev"
      },
      "impact": {
        "cvss": [
          {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 5.3,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "NONE",
            "integrityImpact": "LOW",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N",
            "version": "3.1"
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "cweId": "CWE-117",
                "lang": "eng",
                "value": "CWE-117: Improper Output Neutralization for Logs"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://me.sap.com/notes/3324732",
            "refsource": "MISC",
            "url": "https://me.sap.com/notes/3324732"
          },
          {
            "name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
            "refsource": "MISC",
            "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
          }
        ]
      },
      "source": {
        "discovery": "UNKNOWN"
      }
    },
    "nvd.nist.gov": {
      "configurations": {
        "CVE_data_version": "4.0",
        "nodes": [
          {
            "children": [],
            "cpe_match": [
              {
                "cpe23Uri": "cpe:2.3:a:sap:netweaver_application_server_for_java:7.50:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              }
            ],
            "operator": "OR"
          }
        ]
      },
      "cve": {
        "CVE_data_meta": {
          "ASSIGNER": "cna@sap.com",
          "ID": "CVE-2023-31405"
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "en",
              "value": "SAP NetWeaver AS for Java - versions ENGINEAPI 7.50, SERVERCORE 7.50, J2EE-APPS 7.50, allows an unauthenticated attacker to craft a request over the network which can result in unwarranted modifications to a system log without user interaction. There is no ability to view any information or any effect on availability.\n\n"
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "en",
                  "value": "CWE-117"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://me.sap.com/notes/3324732",
              "refsource": "MISC",
              "tags": [
                "Permissions Required"
              ],
              "url": "https://me.sap.com/notes/3324732"
            },
            {
              "name": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html",
              "refsource": "MISC",
              "tags": [
                "Vendor Advisory"
              ],
              "url": "https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html"
            }
          ]
        }
      },
      "impact": {
        "baseMetricV3": {
          "cvssV3": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 5.3,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "NONE",
            "integrityImpact": "LOW",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N",
            "version": "3.1"
          },
          "exploitabilityScore": 3.9,
          "impactScore": 1.4
        }
      },
      "lastModifiedDate": "2023-07-18T18:10Z",
      "publishedDate": "2023-07-11T03:15Z"
    }
  }
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CVE-2023-31405 (GCVE-0-2023-31405)

Vulnerability from cvelistv5

ghsa-735x-m7jj-qwvp

Vulnerability from github

fkie_cve-2023-31405

Vulnerability from fkie_nvd

wid-sec-w-2024-0025

Vulnerability from csaf_certbund

wid-sec-w-2023-1705

Vulnerability from csaf_certbund

wid-sec-w-2023-2600

Vulnerability from csaf_certbund

gsd-2023-31405

Vulnerability from gsd

Tags

Sightings

Nomenclature