Security Advisories zuSAP®undOracle®
Onapsis Research Labs das weltweit führende Team von Sicherheitsexperten, das sein fundiertes Wissen über kritische ERP-Anwendungen mit jahrzehntelanger threat research in threat research kombiniert, um aussagekräftige Sicherheitserkenntnisse und threat intelligence zu liefern, threat intelligence auf geschäftskritische Anwendungen von SAP, Oracle und SaaS-Anbietern threat intelligence . Onapsis Research Labs mit Abstand der produktivste und renommierteste Lieferant von Forschungsergebnissen zu Sicherheitslücken für das SAP Product Security Response Team. Kein anderes Forschungsteam kommt auch nur annähernd an diese Leistung heran.
15.09.2025
Offene Weiterleitung im SAP HANA XSA UAA-Server
Auswirkungen der „Open Redirect“-Sicherheitslücke im SAP HANA XSA UAA Server auf den Geschäftsbetrieb Die „Open Redirect“-Sicherheitslücke ermöglicht es Angreifern, Benutzer auf beliebige Websites umzuleiten und Phishing-Angriffe durchzuführen. Die Phisher können dann die Anmeldedaten der Opfer oder andere wichtige Daten stehlen, die in weiteren Angriffsketten genutzt werden können. Dies hat begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der…
28.08.2025
Willkürliche Ausführung von RFC-Funktionen über SHDB_TOOLS_RFC_WRAPPER
Beliebige Ausführung von RFC-Funktionen über SHDB_TOOLS_RFC_WRAPPER Auswirkungen auf den Geschäftsbetrieb Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer aus der Ferne Benutzer dazu verleiten, auf speziell gestaltete URLs zuzugreifen, die durch das Auslösen bestimmter Ereignisse bestimmte Aktionen im SAP-System auslösen könnten. Details zur Sicherheitslücke Aufgrund des uneingeschränkten Geltungsbereichs des RFC-Funktionsbausteins (SHDB_TOOLS_RFC_WRAPPER) sind SAP BASIS – Versionen 731,…
28.08.2025
Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_GET_OBJECTS
Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_GET_OBJECTS Auswirkungen auf den Geschäftsbetrieb Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Beeinträchtigung des Geschäftsbetriebs bis hin zu einem Denial-of-Service-Angriff führen. Details zur Sicherheitslücke…
26.08.2025
Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_SIM_API_LOAD
Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_SIM_API_LOAD Auswirkungen auf den Geschäftsbetrieb Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Dienstverweigerung führen. Details zur Sicherheitslücke…
18.08.2025
XXE-Sicherheitslücke in SAP NetWeaver AS Java – Guided Procedures
XXE-Sicherheitslücke in SAP NetWeaver AS Java – Auswirkungen auf den Geschäftsbetrieb (Guided Procedures) Erfolgreiche Angriffe beeinträchtigen die Vertraulichkeit von SAP NetWeaver AS Java und ermöglichen zudem die Ausführung von SSRF oder das Abrufen von Dateien. Details zur Sicherheitslücke Das Servlet „caf~eu~gp~model~iforms~eap“ in SAP NetWeaver AS Java löst externe Entitäten während der Analyse der XML-Antwort des From-Prozessors auf. Angreifer…
18.08.2025
Sicherheitslücke durch Speicherbeschädigung in SAP CommonCryptoLib
Sicherheitslücke durch Speicherbeschädigung in SAP CommonCryptoLib Auswirkungen auf den Geschäftsbetrieb Ein manipuliertes Datenpaket mit einer beschädigten SNC-NAME-ASN.1-Struktur kann zu einem Parser-Fehler und einem Absturz der Anwendung führen. Details zur Sicherheitslücke In der Bibliothek „libsapcrypto.so“ besteht eine Sicherheitslücke durch Speicherbeschädigung bei der Funktion „sec1_gss_import_name()“. Die Funktion vertraut dem übergebenen Größenparameter für eine bestimmte Option….
17.07.2025
Gespeichertes XSS in der Verwaltungsoberfläche von SAP
Gespeichertes XSS in der Administrationsoberfläche von SAP Auswirkungen auf das Geschäft Die Auswirkungen hängen von den Berechtigungen des Opfers ab, jedoch wird der Zugriff auf den SAP Webdispatcher in der Regel Administratorbenutzern gewährt. Im schlimmsten Fall ermöglicht ein erfolgreicher Angriff es einem Angreifer, einen Administrator dazu zu zwingen, Aktionen auf dem SAP Webdispatcher auszuführen, wie beispielsweise Daten zu entwenden, Daten zu ändern oder den Webdispatcher herunterzufahren….
27.09.2024
Willkürliche Ausführung von RFC-Funktionen über CCM_AGS_CC_SIM_API_START
Willkürliche Ausführung von RFC-Funktionen über CCM_AGS_CC_SIM_API_START Auswirkungen auf den Geschäftsbetrieb Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Beeinträchtigung des Geschäftsbetriebs bis hin zu einem Denial-of-Service-Angriff führen. Betroffene Komponenten…
18.09.2024
Verzeichnis-Traversal-Sicherheitslücke in SAP NetWeaver (BI_CONT-Add-On)
Verzeichnisüberquerungs-Sicherheitslücke in SAP NetWeaver (BI_CONT-Add-On) Auswirkungen auf den Geschäftsbetrieb Ein authentifizierter Angreifer mit weitreichenden Berechtigungen kann eine Verzeichnisüberquerungs-Sicherheitslücke ausnutzen, um eine Datei zu überschreiben, auf die sonst Zugriffsbeschränkungen bestehen. Bei erfolgreicher Ausnutzung kann ein Angreifer die Verfügbarkeit und Integrität des Systems gefährden. Betroffene Komponenten Beschreibung SAP NetWeaver AS für ABAP und ABAP…