Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Process Integration – Support-Webseiten
22. August 2025
Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Process Integration – Support-Webseiten
Auswirkungen auf die Wirtschaft
Erfolgreiche Angriffe führen zur Offenlegung von Informationen und erweitern zudem den Handlungsspielraum und den Informationsstand des Angreifers.Details zur Sicherheitslücke
Die Anwendung „com.sap.xi.repository“ in SAP XI/PI/PO ermöglicht es nicht authentifizierten Angreifern, detaillierte Informationen über Zielversionen zu sammeln.Lösung
SAP hat den SAP-Hinweis 3434192 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3434192 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 01.08.2024: Onapsis übermittelt Daten an SAP
- 01.08.2024: SAP nimmt den Bericht zur Kenntnis
- 11.03.2024: SAP veröffentlicht einen SAP-Hinweis zur Behebung des Problems
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-patch-day-march-2024/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-28163
- Hersteller-Patch: https://me.sap.com/notes/3434192
Hinweise
- Veröffentlichungsdatum: 22.08.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0023
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten: SAP XIESR und SAP XITOOL
- ESR 7,50 SP 028 PL 000001 und darunter
- XI TOOLS 7.50 SP 028 PL 000004 und früher (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3434192)
- Schwachstellenklasse: CWE-200
- CVSS v3-Bewertung: 5,3 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2024-28163
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3434192
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz