Fehlende Berechtigungsprüfung in der SAP-Produktions- und Umsatzabrechnung

10. September 2025

Fehlende Berechtigungsprüfung in der SAP-Produktions- und Umsatzabrechnung

Auswirkungen auf das Geschäft

Eine erfolgreiche Ausnutzung der Sicherheitslücke verschafft dem Angreifer nützliche Informationen, die für Spionageaktionen oder zur Entwicklung verschiedener darauf basierende Ausnutzungsketten. Dies hat erhebliche Auswirkungen auf die Vertraulichkeit des Systems und seiner Geschäftsanwendungen.

Details zur Sicherheitslücke

Ein bestimmtes Modul mit Fernzugriffsfunktion ermöglicht es Benutzern ohne Administratorrechte, authentifizierten Benutzern den Zugriff auf hochsensible Informationen. Die Sicherheitslücke Der Funktionsbaustein ist Teil der SAP-Produktions- und Erlösabrechnung Softwarekomponente.

Lösung

SAP hat den SAP-Hinweis 3488341 veröffentlicht, der gepatchte Versionen der betroffene Komponenten. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3488341 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitskorrekturen zu erstellen und diese auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken minimieren.

Zeitachse des Berichts

  • 21.05.2024: Onapsis meldet SAP eine Sicherheitslücke
  •  10.09.2024: SAP veröffentlicht den Patch

Literaturverzeichnis

Zurück zu den Hinweisen

Hinweise

  • Veröffentlichungsdatum: 10.09.2025
  • Sicherheitshinweis-ID: ONAPSIS-2024-0059
  • Forscher: Cristian Scraba

Informationen zur Sicherheitslücke

  • Anbieter: SAP
  • Betroffene Komponenten:
    • SAP NetWeaver und Platform ABAP Platform
    • SAP-Komponente Produktions- und Erlösabrechnung (IS-PRA) (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3488341)
  • Sicherheitslücke: CWE-862: Fehlende Autorisierung
  • CVSS v3-Bewertung: 6,5 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)
  • Risikostufe: Mittel
  • Zugewiesene CVE-Nummer: CVE-2024-45286
  • Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3488341

Betroffene Komponenten – Beschreibung

  • S4CEXT 106 SP 01–06
  • S4CEXT 107 SP 01–04
  • S4CEXT 108 SP 01-02
  • IS-PRA 605 SP 16–25
  • IS-PRA 606 SP 15-33
  • IS-PRA 617 SP 28.08.
  • IS-PRA 618 SP 07-22
  • IS-PRA 801
  • IS-PRA 802 SP 01-14
  • IS-PRA 803 SP 01-12
  • IS-PRA 804 SP 01-10
  • IS-PRA 805 SP 01-08

Über unsere Forschungslabore

Onapsis Research Labs bietet eine Branchenanalyse der wichtigsten Sicherheitsprobleme, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbewertungen zu liefern. Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz
Zurück zu den Hinweisen

Weiterführende Literatur

Hinweis

SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

SAP BEx – Denial-of-Service und willkürliche Änderung/Löschung von Favoriten – Auswirkungen auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen…

Weiterlesen
Hinweis

Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten

Auswirkungen von Denial-of-Service-Angriffen und der willkürlichen Änderung bzw. Löschung von Favoriten auf den Geschäftsbetrieb Ein authentifizierter Angreifer kann einen Denial-of-Service-Zustand für andere Benutzer herbeiführen und diese daran hindern, über das SAP GUI auf das System zuzugreifen. Darüber hinaus kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt….

Weiterlesen
Hinweis

Offene Weiterleitung im SAP HANA XSA UAA-Server

Auswirkungen der „Open Redirect“-Sicherheitslücke im SAP HANA XSA UAA Server auf den Geschäftsbetrieb Die „Open Redirect“-Sicherheitslücke ermöglicht es Angreifern, Benutzer auf beliebige Websites umzuleiten und Phishing-Angriffe durchzuführen. Die Phisher können dann die Anmeldedaten der Opfer oder andere wichtige Daten stehlen, die in weiteren Angriffsketten genutzt werden können. Dies hat begrenzte Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der…

Weiterlesen