SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten
13. März 2026
SAP BEx – Denial-of-Service-Angriffe und willkürliche Änderung/Löschung von Favoriten
Auswirkungen auf das Geschäft
Ein authentifizierter Angreifer kann bei anderen Benutzern einen Denial-of-Service-Zustand herbeiführen, wodurch diese nicht mehr über das SAP GUI auf das System zugreifen können. Zudem kann der Angreifer benutzerspezifische Favoritenknoten ändern oder löschen, was zu Betriebsstörungen und dem Verlust von Komfortfunktionen für die betroffenen Geschäftsanwender führt.
Details zur Sicherheitslücke
Ein für den Fernzugriff freigegebener Funktionsbaustein in SAP BEx, BX_FAVOS_WRITE_ALL_NODES, führt keine ausreichenden Berechtigungsprüfungen durch und verfügt über keine ordnungsgemäße Validierung benutzergesteuerter Schlüssel. Dies ermöglicht es einem authentifizierten Angreifer mit geringen Berechtigungen, andere Benutzer im System anzugreifen.
Durch das Senden speziell gestalteter Anfragen an diesen Funktionsbaustein kann ein Angreifer die Favoritenknoten eines beliebigen Zielbenutzers ändern oder löschen. Darüber hinaus kann die Sicherheitslücke ausgenutzt werden, um innerhalb der Sitzung des Zielbenutzers einen Ressourcenmangel (insbesondere einen Heap-Speicherengpass) auszulösen.
Dies führt zu einem Absturz des SAP GUI und verhindert, dass sich der betroffene Benutzer wieder erfolgreich im System anmeldet, was zu einem Denial-of-Service führt.
Lösung
SAP hat den SAP-Hinweis 3488039 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält.
Die Patches können unter https://me.sap.com/notes/3488039 heruntergeladen werden.
Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.
Zeitachse des Berichts
- 04.06.2024: Onapsis meldet SAP eine Sicherheitslücke
- 10.09.2024: SAP veröffentlicht den Patch
Literaturverzeichnis
- Onapsis-Blogbeitrag https://onapsis.com/blog/sap-security-notes-september-2024-patch-day/
- CVE-Mitre -https://www.cve.org/CVERecord?id=CVE-2024-45285
- CVE NIST https://nvd.nist.gov/vuln/detail/CVE-2024-45285Hersteller-Patch https://me.sap.com/notes/3488039
Hinweise
- Veröffentlichungsdatum: 13.03.2026
- Sicherheitshinweis-ID: ONAPSIS-2024-0008
- Forscher: Adrian Rădulescu
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP NetWeaver ABAP
- SAP Business Explorer (BEx)
(Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3488039)
- Sicherheitslücke: CWE-284: Unzureichende Control
- CVSS v3-Bewertung: 5,4 (CVSS:3,0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L)
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2024-45285
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3488039
Betroffene Komponenten – Beschreibung
Die Sicherheitslücke betrifft Komponenten innerhalb von SAP NetWeaver ABAP, die die Business Explorer (BEx)-Funktionalität unterstützen. Konkret betrifft sie die Verwaltung benutzerdefinierter Favoritenknoten und Menüstrukturen innerhalb der SAP-GUI-Umgebung.
Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu wichtigen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlicht regelmäßig zeitnahe Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke mit fundierten Sicherheitsbeurteilungen zu liefern.
Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einerCreative-Commons-Lizenz 4.0 BY-ND International.