Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_GET_OBJECTS
28. August 2025
Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_GET_OBJECTS
Auswirkungen auf das Geschäft
Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Beeinträchtigung des Geschäftsbetriebs bis hin zu einem Denial-of-Service-Angriff führen.Details zur Sicherheitslücke
Ein Angreifer, der im SAP Solution Manager und in ABAP-verwalteten Systemen (ST-PI) – Versionen 2088_1_700, 2008_1_710, 740 – eine anfällige Schnittstelle (CCM_AGS_CC_GET_OBJECTS) nutzen, um Aktionen auszuführen, zu denen er normalerweise nicht berechtigt wäre. Je nach ausgeführter Funktion kann der Angreifer beliebige Benutzer- oder Anwendungsdaten lesen oder ändern und die Anwendung unzugänglich machen.Lösung
SAP hat den SAP-Hinweis 3296476 veröffentlicht, der gepatchte Versionen der betroffene Komponenten. Die Patches können heruntergeladen werden unterhttps://me.sap.com/notes/3296476 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitskorrekturen zu erstellen und diese auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken minimieren.Zeitachse des Berichts
- 24.01.2023: Onapsis meldet SAP eine Sicherheitslücke
- 14.03.2023: SAP veröffentlicht den Patch.
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-patch-day-march-2023/
- CVE Mitre: https://www.cve.org/CVERecord?id=CVE-2023-27893
- Hersteller-Patch: https://me.sap.com/notes/3296476
Hinweise
- Veröffentlichungsdatum: 28.08.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0045
- Forscher: Ignacio Oliva
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP Solution Manager 7.2 SP 13
- SAP BASIS 7.40, SP 27 (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3296476)
- Schwachstellenklasse: CWE-94: Unsachgemäße Control Codegenerierung („Code-Injection“)
- CVSS v3-Bewertung: 8,8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
- Risikostufe: Hoch
- Zugewiesene CVE-Nummer: CVE-2023-27893
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3296476
Betroffene Komponenten – Beschreibung
Diese Sicherheitslücke betrifft Systeme mit dem Add-on ST-PI- ST-PI 2008_1_700 SP11 – SP31
- ST-PI 2008_1_710 SP11 – SP31
- ST-PI 740 SP01 – SP21
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz