Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver – WSRM
Auswirkungen auf das Geschäft
Erfolgreiche Angriffe führen zur Offenlegung von Informationen und erweitern zudem den Handlungsspielraum und den Informationsstand des Angreifers.
Details zur Sicherheitslücke
Das Servlet „tc~esi~esp~wsrm~itsam~jmx“ in SAP XI/PI/PO ermöglicht es nicht authentifizierten Angreifern, detaillierte Informationen über das Zielbetriebssystem, die SID und den Hostnamen zu erlangen.
Lösung
SAP hat den SAP-Hinweis 3425682 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält.
Die Patches können unter https://me.sap.com/notes/3425682 heruntergeladen werden
Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.
Zeitachse des Berichts
- 01.08.2024: Onapsis übermittelt Daten an SAP
- 01.08.2024: SAP nimmt den Bericht zur Kenntnis
- 11.03.2024: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems
Literaturverzeichnis
- Blogbeitrag von Onapsis: https://onapsis.com/blog/sap-patch-day-march-2024/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-25644
- Hersteller-Patch: https://me.sap.com/notes/3425682
Hinweise
- Veröffentlichungsdatum: 22.08.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0024
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten: SAP WSRM
- ESI – WSRM 7.50 SP 023 PL 000
- ESI – WSRM 7.50 SP 024 PL 000
- ESI – WSRM 7.50 SP 025 PL 000
- ESI – WSRM 7.50 SP 026 PL 000
- ESI – WSRM 7.50 SP 027 PL 000
- ESI – WSRM 7.50 SP 028 PL 000 (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3425682)
- Schwachstellenklasse: CWE-200
- CVSS v3-Bewertung: 5,3 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
- Risikostufe: Mittel
- Zugewiesene CVE: CVE-2024-25644
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3425682
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu wichtigen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken.
Onapsis Research Labs veröffentlichen regelmäßig zeitnahe Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.
Alle gemeldeten Sicherheitslücken finden Sie unter:
https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einerCreative-Commons-Lizenz 4.0 BY-ND International.