Security Advisories zuSAP®undOracle®
Onapsis Research Labs das weltweit führende Team von Sicherheitsexperten, das sein fundiertes Wissen über kritische ERP-Anwendungen mit jahrzehntelanger threat research in threat research kombiniert, um aussagekräftige Sicherheitserkenntnisse und threat intelligence zu liefern, threat intelligence auf geschäftskritische Anwendungen von SAP, Oracle und SaaS-Anbietern threat intelligence . Onapsis Research Labs mit Abstand der produktivste und renommierteste Lieferant von Forschungsergebnissen zu Sicherheitslücken für das SAP Product Security Response Team. Kein anderes Forschungsteam kommt auch nur annähernd an diese Leistung heran.
26.08.2025
Arbiträre Ausführung von RFC-Funktionen über BBP_PDH_PO_RESUBMIT
Willkürliche Ausführung von RFC-Funktionen über BBP_PDH_PO_RESUBMIT Auswirkungen auf den Geschäftsbetrieb Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Beeinträchtigung des Geschäftsbetriebs bis hin zu einem Denial-of-Service-Angriff führen. Details zur Sicherheitslücke…
22.08.2025
Fehlende Berechtigungsprüfung in SAP ERP für Streitkräfte und öffentliche Sicherheit
Fehlende Berechtigungsprüfung in SAP ERP Defence Forces and Public Security – Auswirkungen auf den Geschäftsbetrieb Ein erfolgreicher Angriff kann zur Ermittlung der Zuordnung zwischen Lagerort und Lagernummer führen. Details zur Sicherheitslücke Die Funktionsgruppe /ISDFPS/ISDFPS/WM_LES im Paket /ISDFPS/MM implementiert einen remote-fähigen Funktionsbaustein namens /ISDFPS/GET_LGNUM_RFC, der keine Berechtigungsprüfung durchführt. Jeder Benutzer mit ausreichenden…
22.08.2025
Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver – WSRM
Sicherheitslücke in SAP NetWeaver – WSRM: Auswirkungen auf den Geschäftsbetrieb Erfolgreiche Angriffe führen zur Offenlegung von Informationen und erweitern zudem den Zugriffsbereich und die Erkenntnisse des Angreifers. Details zur Sicherheitslücke Das Servlet „tc~esi~esp~wsrm~itsam~jmx“ in SAP XI/PI/PO ermöglicht es nicht authentifizierten Angreifern, detaillierte Informationen über das Zielbetriebssystem, die SID und den Hostnamen zu erlangen. Lösung SAP hat den SAP-Hinweis … veröffentlicht
22.08.2025
Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Process Integration – Support-Webseiten
Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Process Integration – Support-Webseiten Auswirkungen auf den Geschäftsbetrieb Erfolgreiche Angriffe führen zur Offenlegung von Informationen und erweitern zudem den Zugriffsbereich und die Erkenntnisse des Angreifers. Details zur Sicherheitslücke Die Anwendung „com.sap.xi.repository“ in SAP XI/PI/PO ermöglicht es nicht authentifizierten Angreifern, detaillierte Informationen über die Zielversionen zu sammeln. Lösung SAP hat SAP…
18.08.2025
SAP NetWeaver Java – Einfügen in den Protokoll-Viewer
SAP NetWeaver Java – Auswirkungen der Log-Viewer-Injektion auf den Geschäftsbetrieb Ein nicht authentifizierter Angreifer kann das Anmeldeformular nutzen, um zusätzliche Dateneinträge im SAP Log Viewer zu erstellen, was zu unvorhersehbaren Aktionen führen, die Protokollanalyse erschweren und den Betrieb einiger automatisierter Protokollanalyse-Tools beeinträchtigen kann. Details zur Sicherheitslücke Es ist möglich, „NewLine“-Zeichen in … einzuschleusen
18.08.2025
SAP-Portal – Authentifizierter XXE-Fehler im SystemFromParConverter
SAP Portal – Authentifizierte XXE-Schwachstelle im SystemFromParConverter Auswirkungen auf den Geschäftsbetrieb Erfolgreiche Angriffe beeinträchtigen die Vertraulichkeit des SAP Portals. Details zur Schwachstelle Der Webservice „com.sap.portal.ivs.systemlandscapeservice.SystemFromParConverter“ im SAP Portal löst externe Entitäten während der Analyse der PAR-Datei auf. Angreifer könnten HTTP-Anfragen oder Dateizugriffe durch neue Entitäten referenzieren, wodurch der Parser das Ergebnis lädt…
18.07.2025
Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS ABAP
Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS ABAP Auswirkungen auf den Geschäftsbetrieb Die Auswirkungen hängen von den Berechtigungen des Opfers ab. Im schlimmsten Fall ermöglicht ein erfolgreicher Angriff es einem Angreifer, eine Sitzung zu kapern oder das Opfer dazu zu zwingen, unerwünschte Anfragen im SAP-System auszuführen. Betroffene Komponenten Beschreibung Der SAP Host Agent kann verschiedene Aufgaben im Lebenszyklus ausführen…
18.07.2025
SAP NetWeaver ABAP – EPS_OPEN_INPUT_FILE: Pfadtraversierung
SAP NetWeaver ABAP – EPS_OPEN_INPUT_FILE: Path Traversal – Auswirkungen auf den Geschäftsbetrieb Ein Angreifer mit weitreichenden Berechtigungen kann eine remote zugängliche Funktion nutzen, um eine Datei zu lesen, auf die der Zugriff ansonsten eingeschränkt ist. Bei erfolgreicher Ausnutzung kann ein Angreifer die Vertraulichkeit der Anwendung vollständig untergraben. Betroffene Komponenten Beschreibung Der SAP NetWeaver Application Server für ABAP bietet sowohl die…
18.07.2025
SAP EA-DFPS – Syslog-Überlastung
SAP EA-DFPS – Auswirkungen von Syslog-Verschmutzung auf den Geschäftsbetrieb Durch die Verschmutzung der Hauptprotokollierung des SAP-Systems könnte ein Angreifer unter anderem: böswillige Aktivitäten verbergen; das Syslog dazu bringen, seine Kapazitätsgrenze zu erreichen, woraufhin es sich selbst überschreibt, um Aktivitäten zu löschen; falsche Warnmeldungen hinzufügen, um Ablenkung zu erzeugen. Betroffene Komponenten Beschreibung Von der offiziellen SAP-Website. Aufgrund der spezifischen…