Mehrere Denial-of-Service-Schwachstellen im CL_HTTP_EXT_ECHO-Handler
28. August 2025
Mehrere Denial-of-Service-Schwachstellen im CL_HTTP_EXT_ECHO-Handler
Auswirkungen auf das Geschäft
Durch Ausnutzen einer dieser Schwachstellen kann ein Angreifer, der als ein Benutzer ohne Administratorrechte hat die Möglichkeit, die die von legitimen Nutzern wahrgenommene Servicequalität. Diese Angriffe führen zu große Antwortverzögerungen, übermäßige Verluste und Dienstunterbrechungen, was dazu führt, dass sich unmittelbar auf die Verfügbarkeit auswirkt.Details zur Sicherheitslücke
Die HTTP-Anfragen-Handler-Klasse CL_HTTP_EXT_ECHO ermöglicht es Benutzern ohne Administratorrechte, authentifizierte Benutzer dazu, Anfragen mit bestimmten Parametern zu erstellen, was zu einer Vielzahl von Denial-of-Service-Situationen führen.Lösung
SAP hat den SAP-Hinweis 3296328 veröffentlicht, der gepatchte Versionen der betroffene Komponenten. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3296328 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitskorrekturen zu erstellen und diese auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken minimieren.Zeitachse des Berichts
- 25.01.2023: Onapsis meldet SAP eine Sicherheitslücke
- 14.03.2023: SAP veröffentlicht den Patch
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-patch-day-march-2023/
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27270
- Hersteller-Patch: https://me.sap.com/notes/3296328
Hinweise
- Veröffentlichungsdatum: 28.08.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0050 – Denial-of-Service
- Forscher: Juan Pablo Perez Etchegoyen
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP NetWeaver AS ABAP und ABAP Platform
- SAP BASIS (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3296328)
- Sicherheitslücke: CWE-400: Unkontrollierter Ressourcenverbrauch
- CVSS v3-Bewertung: 6,5 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2023-27270
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3296328
Betroffene Komponenten – Beschreibung
- SAP_BASIS 700 SP 27–40
- SAP_BASIS 701 SP 11-25
- SAP_BASIS 702 SP 07-25
- SAP_BASIS 731 SP 12-32
- SAP_BASIS 740 SP 08-29
- SAP_BASIS 750 SP 26
- SAP_BASIS 751 SP 16
- SAP_BASIS 752 SP 12
- SAP_BASIS 753 SP 10
- SAP_BASIS 754 SP 08
- SAP_BASIS 755 SP 05
- SAP_BASIS 756 SP 03
- SAP_BASIS 757 SP 01
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz