Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS ABAP

18. Juli 2025

Cross-Site-Scripting-Sicherheitslücke (XSS) in SAP NetWeaver AS ABAP

Auswirkungen auf die Wirtschaft

Die Auswirkungen hängen von den Berechtigungen des Opfers ab. Im schlimmsten Fall kann ein Angreifer bei einem erfolgreichen Angriff eine Sitzung kapern oder das Opfer dazu zwingen, unerwünschte Anfragen im SAP-System auszuführen.

Betroffene Komponenten – Beschreibung

Der SAP Host Agent kann verschiedene Aufgaben im Lebenszyklus übernehmen, darunter: Betriebssystemüberwachung, Datenbanküberwachung, control der Systeminstanz control Vorbereitung von Upgrades. Er wird bei der Installation des neuen SAP-Systems automatisch installiert und ist eine betriebssystemunabhängige und obligatorische Anwendung.

Details zur Sicherheitslücke

Der öffentliche HTTP-Dienst /sap/public/bsp/sap/public/graphics/jnet_handler/ von SAP NetWeaver bietet die Möglichkeit, mit dem Befehl WRITEFILE Daten in den gemeinsamen Speicher des Systems zu schreiben. Der Befehl LOADGUID ermöglicht den Zugriff auf die zuvor gespeicherte Datei. Die HTTP-Antwort wird zwangsläufig als „text/xml“ zurückgegeben; ein Angreifer könnte dies jedoch ausnutzen, um bösartiges JavaScript zu speichern und das Opfer anschließend dazu zu verleiten, darauf zu klicken.

Lösung

SAP hat den SAP-Hinweis 3274585 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3274585. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.

Zeitachse des Berichts

  • 17.11.2022: Onapsis übermittelt Daten an SAP
  • 17.11.2022: Von SAP bereitgestellte Vorfallnummer
  • 14.02.2023: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems

Literaturverzeichnis

Zurück zu den Hinweisen

Hinweise

  • Veröffentlichungsdatum: 18.07.25
  • Sicherheitshinweis-ID: ONAPSIS-2024-0015
  • Forscher: Yvan Genuer

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Betroffene Komponenten:
    • SAP_BASIS 700 SP 40 und früher
    • SAP_BASIS 701 SP 25 und früher
    • SAP_BASIS 702 SP 25 und früher
    • SAP_BASIS 731 SP 32 und früher
    • SAP_BASIS 740 SP 29 und früher
    • SAP_BASIS 750 SP 25 und niedriger
    • SAP_BASIS 751 SP 15 und früher
    • SAP_BASIS 752 SP 11 und früher
    • SAP_BASIS 753 SP 09 und früher
    • SAP_BASIS 754 SP 07 und früher
    • SAP_BASIS 755 SP 05 und früher
    • SAP_BASIS 756 SP 03 und früher
    • SAP_BASIS 757 SP 01 und früher (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3274585)
  • Schwachstellenklasse: CWE-79
  • CVSS v3-Wert: 6,1 AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
  • Risikostufe: Mittel
  • Zugewiesene CVE-Nummer: CVE-2023-25614
  • Informationen zum Hersteller-Patch: SAP Security NOTE 3274585

Über unsere Forschungslabore

Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbewertungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz
Zurück zu den Hinweisen

Weiterführende Literatur

Hinweis

SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

SAP BEx – Denial-of-Service und willkürliche Änderung/Löschung von Favoriten – Auswirkungen auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen…

Weiterlesen
Hinweis

Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

Auswirkungen von Denial-of-Service-Angriffen und der willkürlichen Änderung bzw. Löschung von Favoriten auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt….

Weiterlesen
Hinweis

Offene Weiterleitung im SAP HANA XSA UAA-Server

Auswirkungen der „Open Redirect“-Sicherheitslücke im SAP HANA XSA UAA Server auf den Geschäftsbetrieb Die „Open Redirect“-Sicherheitslücke ermöglicht es Angreifern, Benutzer auf beliebige Websites umzuleiten und Phishing-Angriffe durchzuführen. Die Phisher können dann die Anmeldedaten der Opfer oder andere wichtige Daten stehlen, die in weiteren Angriffsketten genutzt werden können. Dies hat begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der…

Weiterlesen