SAP schließt zehn Sicherheitslücken am März-Patchday

Zehn neue Sicherheitsmitteilungen hat SAP zum März-Patchday herausgegeben. Davon behandeln zwei Mitteilungen Sicherheitslücken, die den Programmierern aus Walldorf als kritisches Risiko gelten. IT-Verantwortliche sollten die betroffenen Produkte zügig auf den aktuellen Stand bringen.

Zwei der Lücken gelten als kritisches Risiko, zwei als hoher Bedrohungsgrad und die sechs restlichen als mittleres Risiko. Auf einer Übersichtsseite von SAP listet das Unternehmen die einzelnen Sicherheitsmitteilungen auf.

SAP: Kritische Schwachstellen

Bereits fünf Jahre alt ist eine Schwachstelle des Typs "Prototype Pollution", aufgrund der Angreifer beliebigen Code einschleusen können – und zwar in Apps, die mit SAP Build Apps gebaut wurden (CVE-2019-10744, CVSS 9.4, Risiko "kritisch"). Das Administrator Log Viewer Plug-in von SAP Netweaver AS Java erlaubt Angreifern mit hohen Rechten, potenziell gefährliche Dateien hochzuladen, was sie zum Einschmuggeln von Befehlen missbrauchen können (CVE-2024-22127, CVSS 9.1, kritisch).

In SAP HANA XS Classic und HANA XS Advanced findet sich zudem eine Denial-of-Service-Schwachstelle (DoS) (CVE-2023-44487, CVSS 7.5, hoch). Angreifer können zudem Schadcode durch eine Path Traversal-Sicherheitslücke im Apache Struts von SAP BusinessObjects Business Intelligence Platform (Central Management Console) einschleusen und ausführen (CVE-2023-50164, CVSS 7.2, hoch).

Weitere Sicherheitslecks mittleren Schweregrads finden sich in SAP NetWeaver AS ABAP (SAPGUI for HTML/WebGUI), SAP NetWeaver (WSRM), SAP NetWeaver (Enterprise Portal), SAP NetWeaver Process Integration (Support Web Pages), SAP Fiori Front End Server und in der SAP ABAP Platform. Updates stehen für die anfälligen Systeme bereit. Administratorinnen und Administratoren sollten sie rasch installieren, um die Angriffsfläche zu minimieren.

Im Februar hatten die Entwickler von SAP gleich 13 Sicherheitslecks zu stopfen. Davon galt lediglich eins als kritisches Risiko.

(dmk)