Reflected Cross-Site-Scripting in der BSP-Anwendung „bsp_vhelp“
Auswirkungen auf das Geschäft
Durch Ausnutzung dieser Sicherheitslücke könnte ein Angreifer aus der Ferne Benutzer dazu verleiten, auf bösartige Links zu klicken, und je nach dem Schutzniveau des Browsers könnte der Angreifer möglicherweise deren Benutzersitzungen oder andere Informationen stehlen.Details zur Sicherheitslücke
Aufgrund unzureichender Eingabevalidierung ermöglicht SAP NetWeaver AS ABAP (BSP Framework) einem nicht authentifizierten Benutzer, die aktuelle Sitzung des Benutzers zu manipulieren, indem er über das Netzwerk bösartigen Code einschleust und so Zugriff auf nicht vorgesehene Daten erlangt. Dies kann zu einer eingeschränkten Beeinträchtigung der Vertraulichkeit und Integrität der Anwendung führen.Lösung
SAP hat den SAP-Hinweis 3269151 veröffentlicht, der gepatchte Versionen der betroffene Komponenten. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/326915 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitskorrekturen zu erstellen und diese auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken minimieren.Zeitachse des Berichts
- 02.11.2022: Onapsis meldet SAP eine Sicherheitslücke
- 14.02.2023: SAP veröffentlicht den Patch.
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-patch-day-february-2023/
- CVE Mitre: https://www.cve.org/CVERecord?id=CVE-2023-24521
- Hersteller-Patch: https://me.sap.com/notes/3269151
Hinweise
- Veröffentlichungsdatum: 28.08.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0047
- Forscher: Onapsis Research Labs
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757 (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3269151)
- Sicherheitslücke: CWE-79: Unsachgemäße Neutralisierung von Eingaben bei der Erstellung von Webseiten („Cross-Site-Scripting“)
- CVSS v3-Bewertung: 6,1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2023-24521
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3269151
Betroffene Komponenten – Beschreibung
Diese Sicherheitslücke betrifft SAP NetWeaver AS ABAP (BSP-Framework) Versionen 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz