Security Advisories zuSAP®undOracle®
Onapsis Research Labs das weltweit führende Team von Sicherheitsexperten, das sein fundiertes Wissen über kritische ERP-Anwendungen mit jahrzehntelanger threat research in threat research kombiniert, um aussagekräftige Sicherheitserkenntnisse und threat intelligence zu liefern, threat intelligence auf geschäftskritische Anwendungen von SAP, Oracle und SaaS-Anbietern threat intelligence . Onapsis Research Labs mit Abstand der produktivste und renommierteste Lieferant von Forschungsergebnissen zu Sicherheitslücken für das SAP Product Security Response Team. Kein anderes Forschungsteam kommt auch nur annähernd an diese Leistung heran.
10.09.2025
Unzureichende Berechtigungsprüfungen beim RFC-fähigen Funktionsbaustein F4_DXFILENAME_TOPRECURSION
Unzureichende Berechtigungsprüfungen beim RFC-fähigen Funktionsbaustein F4_DXFILENAME_TOPRECURSION Auswirkungen auf den Geschäftsbetrieb Ein Angreifer von außerhalb kann alle Dateinamen beliebiger Verzeichnisse aus dem Dateisystem des Anwendungsservers auslesen. Dies hat geringe Auswirkungen auf die Vertraulichkeit des Systems und seiner Geschäftsanwendungen. Details zur Sicherheitslücke Der remote-fähige Funktionsbaustein F4_DXFILENAME_TOPRECURSION ermöglicht es authentifizierten Benutzern ohne Administratorrechte, Dateinamen auszulesen…
28.08.2025
Reflected Cross-Site-Scripting in der BSP-Anwendung „bsp_vhelp“
Reflected Cross-Site-Scripting in der BSP-Anwendung „bsp_vhelp“ – Auswirkungen auf den Geschäftsbetrieb Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer von weitem Benutzer dazu verleiten, auf bösartige Links zu klicken. Je nach dem Schutzniveau des Browsers könnte der Angreifer möglicherweise Benutzersitzungen oder andere Informationen stehlen. Details zur Sicherheitslücke Aufgrund unzureichender Eingabevalidierung hat SAP…
28.08.2025
Willkürliche Ausführung von RFC-Funktionen über SHDB_TOOLS_RFC_WRAPPER
Beliebige Ausführung von RFC-Funktionen über SHDB_TOOLS_RFC_WRAPPER Auswirkungen auf den Geschäftsbetrieb Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer aus der Ferne Benutzer dazu verleiten, auf speziell gestaltete URLs zuzugreifen, die durch das Auslösen bestimmter Ereignisse bestimmte Aktionen im SAP-System auslösen könnten. Details zur Sicherheitslücke Aufgrund des uneingeschränkten Geltungsbereichs des RFC-Funktionsbausteins (SHDB_TOOLS_RFC_WRAPPER) sind SAP BASIS – Versionen 731,…
18.07.2025
Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS ABAP
Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS ABAP Auswirkungen auf den Geschäftsbetrieb Die Auswirkungen hängen von den Berechtigungen des Opfers ab. Im schlimmsten Fall ermöglicht ein erfolgreicher Angriff es einem Angreifer, eine Sitzung zu kapern oder das Opfer dazu zu zwingen, unerwünschte Anfragen im SAP-System auszuführen. Betroffene Komponenten Beschreibung Der SAP Host Agent kann verschiedene Aufgaben im Lebenszyklus ausführen…
13.04.2021
Denial-of-Service-Angriff in SAP NetWeaver AS ABAP
Denial-of-Service-Angriff auf SAP NetWeaver AS ABAP – Auswirkungen auf den Geschäftsbetrieb Ein Angreifer kann aus der Ferne alle Arbeitsprozesse eines auf SAP NetWeaver AS ABAP laufenden SAP-Systems blockieren. Dies hat erhebliche negative Auswirkungen auf die Verfügbarkeit des Systems und seiner Geschäftsanwendungen. Details zur Sicherheitslücke Der aus der Ferne aufrufbare Funktionsbaustein SPI_WAIT_MILLIS blockiert einen…