Security Advisories zuSAP®undOracle®
Onapsis Research Labs das weltweit führende Team von Sicherheitsexperten, das sein fundiertes Wissen über kritische ERP-Anwendungen mit jahrzehntelanger threat research in threat research kombiniert, um aussagekräftige Sicherheitserkenntnisse und threat intelligence zu liefern, threat intelligence auf geschäftskritische Anwendungen von SAP, Oracle und SaaS-Anbietern threat intelligence . Onapsis Research Labs mit Abstand der produktivste und renommierteste Lieferant von Forschungsergebnissen zu Sicherheitslücken für das SAP Product Security Response Team. Kein anderes Forschungsteam kommt auch nur annähernd an diese Leistung heran.
28.08.2025
Willkürliche Ausführung von RFC-Funktionen über SHDB_TOOLS_RFC_WRAPPER
Beliebige Ausführung von RFC-Funktionen über SHDB_TOOLS_RFC_WRAPPER Auswirkungen auf den Geschäftsbetrieb Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer aus der Ferne Benutzer dazu verleiten, auf speziell gestaltete URLs zuzugreifen, die durch das Auslösen bestimmter Ereignisse bestimmte Aktionen im SAP-System auslösen könnten. Details zur Sicherheitslücke Aufgrund des uneingeschränkten Geltungsbereichs des RFC-Funktionsbausteins (SHDB_TOOLS_RFC_WRAPPER) sind SAP BASIS – Versionen 731,…
28.08.2025
Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_GET_OBJECTS
Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_GET_OBJECTS Auswirkungen auf den Geschäftsbetrieb Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Beeinträchtigung des Geschäftsbetriebs bis hin zu einem Denial-of-Service-Angriff führen. Details zur Sicherheitslücke…
28.08.2025
Mehrere Denial-of-Service-Schwachstellen im CL_HTTP_EXT_ECHO-Handler
Mehrere Denial-of-Service-Schwachstellen im CL_HTTP_EXT_ECHO-Handler Auswirkungen auf den Geschäftsbetrieb Durch Ausnutzung einer dieser Schwachstellen kann ein Angreifer, der als Nicht-Administrator-Benutzer authentifiziert ist, die Dienstqualität für legitime Benutzer erheblich beeinträchtigen. Diese Angriffe führen zu erheblichen Antwortverzögerungen, übermäßigen Datenverlusten und Dienstunterbrechungen, was sich direkt auf die Verfügbarkeit auswirkt. Details zur Schwachstelle Die HTTP-Anfragen…
26.08.2025
Arbiträre Ausführung von RFC-Funktionen über BBP_PDH_PO_RESUBMIT
Willkürliche Ausführung von RFC-Funktionen über BBP_PDH_PO_RESUBMIT Auswirkungen auf den Geschäftsbetrieb Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Beeinträchtigung des Geschäftsbetriebs bis hin zu einem Denial-of-Service-Angriff führen. Details zur Sicherheitslücke…
26.08.2025
Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_SIM_API_LOAD
Willkürliche Ausführung von RFC-Funktionen über SDF-CCM_AGS_CC_SIM_API_LOAD Auswirkungen auf den Geschäftsbetrieb Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Dienstverweigerung führen. Details zur Sicherheitslücke…
22.08.2025
Fehlende Berechtigungsprüfung in SAP ERP für Streitkräfte und öffentliche Sicherheit
Fehlende Berechtigungsprüfung in SAP ERP Defence Forces and Public Security – Auswirkungen auf den Geschäftsbetrieb Ein erfolgreicher Angriff kann zur Ermittlung der Zuordnung zwischen Lagerort und Lagernummer führen. Details zur Sicherheitslücke Die Funktionsgruppe /ISDFPS/ISDFPS/WM_LES im Paket /ISDFPS/MM implementiert einen remote-fähigen Funktionsbaustein namens /ISDFPS/GET_LGNUM_RFC, der keine Berechtigungsprüfung durchführt. Jeder Benutzer mit ausreichenden…
22.08.2025
Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver – WSRM
Sicherheitslücke in SAP NetWeaver – WSRM: Auswirkungen auf den Geschäftsbetrieb Erfolgreiche Angriffe führen zur Offenlegung von Informationen und erweitern zudem den Zugriffsbereich und die Erkenntnisse des Angreifers. Details zur Sicherheitslücke Das Servlet „tc~esi~esp~wsrm~itsam~jmx“ in SAP XI/PI/PO ermöglicht es nicht authentifizierten Angreifern, detaillierte Informationen über das Zielbetriebssystem, die SID und den Hostnamen zu erlangen. Lösung SAP hat den SAP-Hinweis … veröffentlicht
22.08.2025
Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Process Integration – Support-Webseiten
Sicherheitslücke durch Offenlegung von Informationen in SAP NetWeaver Process Integration – Support-Webseiten Auswirkungen auf den Geschäftsbetrieb Erfolgreiche Angriffe führen zur Offenlegung von Informationen und erweitern zudem den Zugriffsbereich und die Erkenntnisse des Angreifers. Details zur Sicherheitslücke Die Anwendung „com.sap.xi.repository“ in SAP XI/PI/PO ermöglicht es nicht authentifizierten Angreifern, detaillierte Informationen über die Zielversionen zu sammeln. Lösung SAP hat SAP…
18.08.2025
XXE-Sicherheitslücke in SAP NetWeaver AS Java – Guided Procedures
XXE-Sicherheitslücke in SAP NetWeaver AS Java – Auswirkungen auf den Geschäftsbetrieb (Guided Procedures) Erfolgreiche Angriffe beeinträchtigen die Vertraulichkeit von SAP NetWeaver AS Java und ermöglichen zudem die Ausführung von SSRF oder das Abrufen von Dateien. Details zur Sicherheitslücke Das Servlet „caf~eu~gp~model~iforms~eap“ in SAP NetWeaver AS Java löst externe Entitäten während der Analyse der XML-Antwort des From-Prozessors auf. Angreifer…