Unzureichende Berechtigungsprüfungen beim RFC-fähigen Funktionsbaustein F4_DXFILENAME_TOPRECURSION
10. September 2025
Unzureichende Berechtigungsprüfungen beim RFC-fähigen Funktionsbaustein F4_DXFILENAME_TOPRECURSION
Auswirkungen auf das Geschäft
Ein Angreifer von außerhalb kann alle Dateinamen beliebiger Verzeichnisse aus dem Dateisystem des Anwendungsservers. Dies hat nur geringe Auswirkungen auf die Vertraulichkeit des Systems und seiner Geschäftsanwendungen.Details zur Sicherheitslücke
Das remote-fähige Funktionsmodul F4_DXFILENAME_TOPRECURSION ermöglicht Nicht-administrative, authentifizierte Benutzer können Dateinamen aus beliebigen Verzeichnisse im Dateisystem des Anwendungsservers. Die anfällige Der Funktionsbaustein ist Teil der Softwarekomponente SAP_BASIS.Lösung
SAP hat den SAP-Hinweis 3454858 veröffentlicht, der gepatchte Versionen der betroffene Komponenten. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3454858 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitskorrekturen zu erstellen und diese auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken minimieren.Zeitachse des Berichts
- 28.03.2024: Onapsis meldet SAP eine Sicherheitslücke
- 07.09.2024: SAP veröffentlicht den Patch
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-patch-day-july-2024/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37180
- Hersteller-Patch: https://me.sap.com/notes/3454858
Hinweise
- Veröffentlichungsdatum: 10.09.2025
- Sicherheitshinweis-ID: ONAPSIS-2024-0058
- Forscher: Cristian Scraba
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP NetWeaver und Platform ABAP Platform
- SAP-Basis-Komponente (SAP_BASIS) (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3454858)
- Sicherheitslücke: CWE-862: Fehlende Autorisierung
- CVSS v3-Bewertung: 4,1 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N)
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2024-37180
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3454858
Betroffene Komponenten – Beschreibung
- SAP_BASIS 700 SP 15-41
- SAP_BASIS 701 SP 01-26
- SAP_BASIS 702 SP 01-26
- SAP_BASIS 731 SP 01-34
- SAP_BASIS 740 SP 01-31
- SAP_BASIS 750 SP 01-30
- SAP_BASIS 751 SP 01-18
- SAP_BASIS 752 SP 01-14
- SAP_BASIS 753 SP 01-12
- SAP_BASIS 754 SP 01-10
- SAP_BASIS 755 SP 01-08
- SAP_BASIS 756 SP 01–06
- SAP_BASIS 757 SP 01–04
- SAP_BASIS 758 SP 01
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz