cvelistv5 - cve-2024-45282

CVE-2024-45282 (GCVE-0-2024-45282)

Vulnerability from cvelistv5

Published

2024-10-08 03:21

Modified

2024-10-09 14:54

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CWE

CWE-650 - Trusting HTTP Permission Methods on the Server Side

Summary

Fields which are in 'read only' state in Bank Statement Draft in Manage Bank Statements application, could be modified by MERGE method. The property of an OData entity representing assumably immutable method is not protected against external modifications leading to integrity violations. Confidentiality and Availability are not impacted.

References

►

URL

Tags

	cna@sap.com	https://me.sap.com/notes/3251893	Permissions Required
	cna@sap.com	https://url.sap/sapsecuritypatchday	Vendor Advisory

Impacted products

	Vendor	Product	Version
	SAP_SE	SAP S/4 HANA (Manage Bank Statements)	Version: S4CORE Version: 102 Version: 103 Version: 104 Version: 105 Version: 106 Version: 107

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2024-45282",
                "options": [
                  {
                    "Exploitation": "none"
                  },
                  {
                    "Automatable": "no"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-10-09T14:54:01.568870Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2024-10-09T14:54:13.725Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "defaultStatus": "unaffected",
          "product": "SAP S/4 HANA (Manage Bank Statements)",
          "vendor": "SAP_SE",
          "versions": [
            {
              "status": "affected",
              "version": "S4CORE"
            },
            {
              "status": "affected",
              "version": "102"
            },
            {
              "status": "affected",
              "version": "103"
            },
            {
              "status": "affected",
              "version": "104"
            },
            {
              "status": "affected",
              "version": "105"
            },
            {
              "status": "affected",
              "version": "106"
            },
            {
              "status": "affected",
              "version": "107"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "\u003cp\u003eFields which are in \u0027read only\u0027 state in Bank Statement Draft in Manage Bank Statements application, could be modified by MERGE method. The property of an OData entity representing assumably immutable method is not protected against external modifications leading to integrity violations. Confidentiality and Availability are not impacted.\u003c/p\u003e"
            }
          ],
          "value": "Fields which are in \u0027read only\u0027 state in Bank Statement Draft in Manage Bank Statements application, could be modified by MERGE method. The property of an OData entity representing assumably immutable method is not protected against external modifications leading to integrity violations. Confidentiality and Availability are not impacted."
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 4.3,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "NONE",
            "integrityImpact": "LOW",
            "privilegesRequired": "LOW",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
            "version": "3.1"
          },
          "format": "CVSS",
          "scenarios": [
            {
              "lang": "en",
              "value": "GENERAL"
            }
          ]
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "cweId": "CWE-650",
              "description": "CWE-650: Trusting HTTP Permission Methods on the Server Side",
              "lang": "eng",
              "type": "CWE"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2024-10-08T03:21:33.330Z",
        "orgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
        "shortName": "sap"
      },
      "references": [
        {
          "url": "https://me.sap.com/notes/3251893"
        },
        {
          "url": "https://url.sap/sapsecuritypatchday"
        }
      ],
      "source": {
        "discovery": "UNKNOWN"
      },
      "title": "HTTP Verb Tampering in SAP S/4 HANA(Manage Bank Statements)",
      "x_generator": {
        "engine": "Vulnogram 0.2.0"
      }
    }
  },
  "cveMetadata": {
    "assignerOrgId": "e4686d1a-f260-4930-ac4c-2f5c992778dd",
    "assignerShortName": "sap",
    "cveId": "CVE-2024-45282",
    "datePublished": "2024-10-08T03:21:33.330Z",
    "dateReserved": "2024-08-26T10:39:20.932Z",
    "dateUpdated": "2024-10-09T14:54:13.725Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1",
  "vulnerability-lookup:meta": {
    "nvd": "{\"cve\":{\"id\":\"CVE-2024-45282\",\"sourceIdentifier\":\"cna@sap.com\",\"published\":\"2024-10-08T04:15:08.633\",\"lastModified\":\"2024-11-14T17:56:17.007\",\"vulnStatus\":\"Analyzed\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"Fields which are in \u0027read only\u0027 state in Bank Statement Draft in Manage Bank Statements application, could be modified by MERGE method. The property of an OData entity representing assumably immutable method is not protected against external modifications leading to integrity violations. Confidentiality and Availability are not impacted.\"},{\"lang\":\"es\",\"value\":\"Los campos que est\u00e1n en estado de \\\"solo lectura\\\" en Bank Statement Draft in Manage Bank Statements application. La propiedad de una entidad OData que representa un m\u00e9todo supuestamente inmutable no est\u00e1 protegida contra modificaciones externas que provoquen violaciones de integridad. La confidencialidad y la disponibilidad no se ven afectadas.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"cna@sap.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N\",\"baseScore\":4.3,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.8,\"impactScore\":1.4},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N\",\"baseScore\":5.3,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":1.4}]},\"weaknesses\":[{\"source\":\"cna@sap.com\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-650\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:s\\\\/4_hana:102:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"7EE80980-12A5-40D7-8992-5C81FC82935E\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:s\\\\/4_hana:103:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"82AAE66A-7112-4E83-9094-2AA571144F64\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:s\\\\/4_hana:104:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"CFF0FD31-F4F3-470A-9CB5-DE339D7334FF\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:s\\\\/4_hana:105:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"A52E5AE7-D16E-4122-A39E-20A2CAB9A146\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:s\\\\/4_hana:106:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"EAEF60F9-E053-4D22-AA65-9C1CA5130374\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:sap:s\\\\/4_hana:107:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"8606117E-F864-474F-8839-F6BAB51113E0\"}]}]}],\"references\":[{\"url\":\"https://me.sap.com/notes/3251893\",\"source\":\"cna@sap.com\",\"tags\":[\"Permissions Required\"]},{\"url\":\"https://url.sap/sapsecuritypatchday\",\"source\":\"cna@sap.com\",\"tags\":[\"Vendor Advisory\"]}]}}",
    "vulnrichment": {
      "containers": "{\"adp\": [{\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2024-45282\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-10-09T14:54:01.568870Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-10-09T14:54:09.310Z\"}}], \"cna\": {\"title\": \"HTTP Verb Tampering in SAP S/4 HANA(Manage Bank Statements)\", \"source\": {\"discovery\": \"UNKNOWN\"}, \"metrics\": [{\"format\": \"CVSS\", \"cvssV3_1\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 4.3, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"MEDIUM\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N\", \"integrityImpact\": \"LOW\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"NONE\", \"privilegesRequired\": \"LOW\", \"confidentialityImpact\": \"NONE\"}, \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"affected\": [{\"vendor\": \"SAP_SE\", \"product\": \"SAP S/4 HANA (Manage Bank Statements)\", \"versions\": [{\"status\": \"affected\", \"version\": \"S4CORE\"}, {\"status\": \"affected\", \"version\": \"102\"}, {\"status\": \"affected\", \"version\": \"103\"}, {\"status\": \"affected\", \"version\": \"104\"}, {\"status\": \"affected\", \"version\": \"105\"}, {\"status\": \"affected\", \"version\": \"106\"}, {\"status\": \"affected\", \"version\": \"107\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://me.sap.com/notes/3251893\"}, {\"url\": \"https://url.sap/sapsecuritypatchday\"}], \"x_generator\": {\"engine\": \"Vulnogram 0.2.0\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"Fields which are in \u0027read only\u0027 state in Bank Statement Draft in Manage Bank Statements application, could be modified by MERGE method. The property of an OData entity representing assumably immutable method is not protected against external modifications leading to integrity violations. Confidentiality and Availability are not impacted.\", \"supportingMedia\": [{\"type\": \"text/html\", \"value\": \"\u003cp\u003eFields which are in \u0027read only\u0027 state in Bank Statement Draft in Manage Bank Statements application, could be modified by MERGE method. The property of an OData entity representing assumably immutable method is not protected against external modifications leading to integrity violations. Confidentiality and Availability are not impacted.\u003c/p\u003e\", \"base64\": false}]}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"eng\", \"type\": \"CWE\", \"cweId\": \"CWE-650\", \"description\": \"CWE-650: Trusting HTTP Permission Methods on the Server Side\"}]}], \"providerMetadata\": {\"orgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"shortName\": \"sap\", \"dateUpdated\": \"2024-10-08T03:21:33.330Z\"}}}",
      "cveMetadata": "{\"cveId\": \"CVE-2024-45282\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2024-10-09T14:54:13.725Z\", \"dateReserved\": \"2024-08-26T10:39:20.932Z\", \"assignerOrgId\": \"e4686d1a-f260-4930-ac4c-2f5c992778dd\", \"datePublished\": \"2024-10-08T03:21:33.330Z\", \"assignerShortName\": \"sap\"}",
      "dataType": "CVE_RECORD",
      "dataVersion": "5.1"
    }
  }
}

wid-sec-w-2024-3093

Vulnerability from csaf_certbund

Published

2024-10-07 22:00

Modified

2024-10-07 22:00

Summary

SAP Software: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuführen und einen Denial-of-Service-Zustand zu erzeugen.

Betroffene Betriebssysteme

- Sonstiges - UNIX - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "SAP stellt unternehmensweite L\u00f6sungen f\u00fcr Gesch\u00e4ftsprozesse wie Buchf\u00fchrung, Vertrieb, Einkauf und Lagerhaltung zur Verf\u00fcgung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges\n- UNIX\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-3093 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-3093.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-3093 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3093"
      },
      {
        "category": "external",
        "summary": "SAP Security Patch Day \u2013 October 2024 vom 2024-10-07",
        "url": "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/october-2024.html"
      }
    ],
    "source_lang": "en-US",
    "title": "SAP Software: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2024-10-07T22:00:00.000+00:00",
      "generator": {
        "date": "2024-10-08T08:11:29.115+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.8"
        }
      },
      "id": "WID-SEC-W-2024-3093",
      "initial_release_date": "2024-10-07T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-10-07T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "SAP Software",
            "product": {
              "name": "SAP Software",
              "product_id": "T038023",
              "product_identification_helper": {
                "cpe": "cpe:/a:sap:sap:-"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "SAP"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2022-23302",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2022-23302"
    },
    {
      "cve": "CVE-2024-37179",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-37179"
    },
    {
      "cve": "CVE-2024-37180",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-37180"
    },
    {
      "cve": "CVE-2024-39592",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-39592"
    },
    {
      "cve": "CVE-2024-41729",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-41729"
    },
    {
      "cve": "CVE-2024-41730",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-41730"
    },
    {
      "cve": "CVE-2024-42373",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-42373"
    },
    {
      "cve": "CVE-2024-45277",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-45277"
    },
    {
      "cve": "CVE-2024-45278",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-45278"
    },
    {
      "cve": "CVE-2024-45282",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-45282"
    },
    {
      "cve": "CVE-2024-45283",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-45283"
    },
    {
      "cve": "CVE-2024-47594",
      "notes": [
        {
          "category": "description",
          "text": "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in verschiedenen Komponenten wie NetWeaver, SAP HANA oder der BusinessObjects Business Intelligence Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer fehlenden Autorisierung oder einer unsachgem\u00e4\u00dfen Eingabevalidierung. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern, beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen preiszugeben, Dateien zu manipulieren, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und einen Denial-of-Service-Zustand zu erzeugen. Einige dieser Schwachstellen erfordern eine Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
        }
      ],
      "product_status": {
        "known_affected": [
          "T038023"
        ]
      },
      "release_date": "2024-10-07T22:00:00.000+00:00",
      "title": "CVE-2024-47594"
    }
  ]
}

fkie_cve-2024-45282

Vulnerability from fkie_nvd

Published

2024-10-08 04:15

Modified

2024-11-14 17:56

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
5.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Summary

References

▶	URL	Tags
	cna@sap.com	https://me.sap.com/notes/3251893	Permissions Required
	cna@sap.com	https://url.sap/sapsecuritypatchday	Vendor Advisory

Impacted products

Vendor	Product	Version
sap	s\/4_hana	102
sap	s\/4_hana	103
sap	s\/4_hana	104
sap	s\/4_hana	105
sap	s\/4_hana	106
sap	s\/4_hana	107

JSON

To clipboard

{
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:sap:s\\/4_hana:102:*:*:*:*:*:*:*",
              "matchCriteriaId": "7EE80980-12A5-40D7-8992-5C81FC82935E",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:s\\/4_hana:103:*:*:*:*:*:*:*",
              "matchCriteriaId": "82AAE66A-7112-4E83-9094-2AA571144F64",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:s\\/4_hana:104:*:*:*:*:*:*:*",
              "matchCriteriaId": "CFF0FD31-F4F3-470A-9CB5-DE339D7334FF",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:s\\/4_hana:105:*:*:*:*:*:*:*",
              "matchCriteriaId": "A52E5AE7-D16E-4122-A39E-20A2CAB9A146",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:s\\/4_hana:106:*:*:*:*:*:*:*",
              "matchCriteriaId": "EAEF60F9-E053-4D22-AA65-9C1CA5130374",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:sap:s\\/4_hana:107:*:*:*:*:*:*:*",
              "matchCriteriaId": "8606117E-F864-474F-8839-F6BAB51113E0",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "Fields which are in \u0027read only\u0027 state in Bank Statement Draft in Manage Bank Statements application, could be modified by MERGE method. The property of an OData entity representing assumably immutable method is not protected against external modifications leading to integrity violations. Confidentiality and Availability are not impacted."
    },
    {
      "lang": "es",
      "value": "Los campos que est\u00e1n en estado de \"solo lectura\" en Bank Statement Draft in Manage Bank Statements application. La propiedad de una entidad OData que representa un m\u00e9todo supuestamente inmutable no est\u00e1 protegida contra modificaciones externas que provoquen violaciones de integridad. La confidencialidad y la disponibilidad no se ven afectadas."
    }
  ],
  "id": "CVE-2024-45282",
  "lastModified": "2024-11-14T17:56:17.007",
  "metrics": {
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 4.3,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "NONE",
          "integrityImpact": "LOW",
          "privilegesRequired": "LOW",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 2.8,
        "impactScore": 1.4,
        "source": "cna@sap.com",
        "type": "Secondary"
      },
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 5.3,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "NONE",
          "integrityImpact": "LOW",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 1.4,
        "source": "nvd@nist.gov",
        "type": "Primary"
      }
    ]
  },
  "published": "2024-10-08T04:15:08.633",
  "references": [
    {
      "source": "cna@sap.com",
      "tags": [
        "Permissions Required"
      ],
      "url": "https://me.sap.com/notes/3251893"
    },
    {
      "source": "cna@sap.com",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://url.sap/sapsecuritypatchday"
    }
  ],
  "sourceIdentifier": "cna@sap.com",
  "vulnStatus": "Analyzed",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-650"
        }
      ],
      "source": "cna@sap.com",
      "type": "Primary"
    }
  ]
}

ghsa-3wwx-rqjr-vjcc

Vulnerability from github

Published

2024-10-08 06:30

Modified

2024-10-08 06:30

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Details

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2024-45282"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-650"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2024-10-08T04:15:08Z",
    "severity": "MODERATE"
  },
  "details": "Fields which are in \u0027read only\u0027 state in Bank Statement Draft in Manage Bank Statements application, could be modified by MERGE method. The property of an OData entity representing assumably immutable method is not protected against external modifications leading to integrity violations. Confidentiality and Availability are not impacted.",
  "id": "GHSA-3wwx-rqjr-vjcc",
  "modified": "2024-10-08T06:30:47Z",
  "published": "2024-10-08T06:30:47Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2024-45282"
    },
    {
      "type": "WEB",
      "url": "https://me.sap.com/notes/3251893"
    },
    {
      "type": "WEB",
      "url": "https://url.sap/sapsecuritypatchday"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N",
      "type": "CVSS_V3"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CVE-2024-45282 (GCVE-0-2024-45282)

Vulnerability from cvelistv5

wid-sec-w-2024-3093

Vulnerability from csaf_certbund

fkie_cve-2024-45282

Vulnerability from fkie_nvd

ghsa-3wwx-rqjr-vjcc

Vulnerability from github

Tags

Sightings

Nomenclature