Gespeichertes XSS in der Verwaltungsoberfläche von SAP
Auswirkungen auf die Wirtschaft
Die Auswirkungen hängen von den Berechtigungen des Opfers ab, doch in der Regel verfügen Administratorbenutzer über Zugriff auf den SAP Webdispatcher. Im schlimmsten Fall kann ein Angreifer durch einen erfolgreichen Angriff einen Administrator dazu zwingen, bestimmte Aktionen auf dem SAP Webdispatcher auszuführen, beispielsweise Daten zu entwenden, Daten zu ändern oder den Webdispatcher herunterzufahren.Betroffene Komponenten – Beschreibung
Die Web-Verwaltungsoberfläche des SAP Web Dispatchers und des Internet Communication Managers (ICM) ist ein integriertes Dashboard zur Verwaltung, Konfiguration und Überwachung der Aktivitäten im Zusammenhang mit den genannten Produkten. Sie wird in der Regel nur von Administratoren oder Benutzern mit erweiterten Berechtigungen genutzt.Details zur Sicherheitslücke
Der Cache-Bereich der SAP-Web-Verwaltungsoberfläche in HTTP-Handler / Server-Cache / Cache-Inhalt Die in der Cache-Tabelle gespeicherte Eingabe-URL wird nicht ausreichend bereinigt, sodass JavaScript in die Webseite eingefügt werden kann. Ein Angreifer kann in der URL eines beliebigen Backends bösartigen Code einfügen, der den SAP Web Dispatcher oder SAP ICM dazu zwingt, bösartiges JavaScript im Cache zu speichern. Das Opfer muss auf den Bereich „Cache-Inhalte“ in der Web-Verwaltungsoberfläche zugreifen, um das eingeschleuste Skript auszulösen.Lösung
SAP hat den SAP-Hinweis 3145046 veröffentlicht, der gepatchte Versionen der betroffenen Komponenten enthält. Die Patches können heruntergeladen werden unter https://launchpad.support.sap.com/#/notes/3145046. Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitspatches herunterzuladen und auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken zu minimieren.Zeitachse des Berichts
- 28.01.2022: Onapsis übermittelt Daten an SAP
- 02.03.2022: SAP stellt Fragen zur CVSS-Bewertung
- 12.04.2022: SAP gibt Update bekannt: In Bearbeitung
- 10.05.2022: SAP veröffentlicht einen SAP-Hinweis, der das Problem behebt.
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-security-patch-day-may-2022-spring4shell-vulnerabi Sicherheitslücke-in-sechs-SAP-Anwendungen-wurde-behoben
- CVE Mitre: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27656
- Hersteller-Patch: https://launchpad.support.sap.com/#/notes/3145046
- Häufig gestellte Fragen für Anbieter: https://launchpad.support.sap.com/#/notes/3195635
Hinweise
- Veröffentlichungsdatum: 17.07.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0007
- Forscher: Yvan Genuer
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP-Kernel von 7.22 auf 8.04
- WEBDISP 7.22 bis 7.49 (Detaillierte Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3145046)
- Schwachstellenklasse: CWE-79
- CVSS v3-Bewertung: 8,3 AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
- Risikostufe: Hoch
- Zugewiesene CVE-Nummer: CVE-2022-27656
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3145046