Podatność w komponencie Internet Communication Framework (ICF) platformy SAP NetWeaver AS for ABAP pozwala uwierzytelnionemu atakującemu na dostęp do chronionych zasobów systemowych. Słabe mechanizmy kontroli dostępu mogą prowadzić do poważnych naruszeń poufności, integralności i dostępności aplikacji.
▸ Pokaż oryginał (EN)
Under certain conditions SAP NetWeaver AS for ABAP and ABAP Platform (Internet Communication Framework) allows an attacker to access restricted information due to weak access controls. This can have a significant impact on the confidentiality, integrity, and availability of an application
Przy spełnieniu określonych warunków środowiskowych, komponent Internet Communication Framework (ICF) w SAP NetWeaver AS for ABAP nie egzekwuje prawidłowo ograniczeń dostępu (CWE-732 – nieprawidłowo skonfigurowane uprawnienia do zasobów). Atakujący posiadający podstawowy dostęp sieciowy i minimalne uprawnienia może wykorzystać tę lukę do uzyskania dostępu do informacji i zasobów, do których nie powinien mieć uprawnień. Podatność nie wymaga interakcji po stronie użytkownika, a jej zasięg wykracza poza pierwotny kontekst aplikacji (Scope Changed).
Atakujący może uzyskać nieautoryzowany dostęp do chronionych danych i funkcji systemu SAP, co może skutkować ujawnieniem wrażliwych informacji biznesowych, modyfikacją danych oraz zakłóceniem dostępności aplikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami – nota SAP nr 3550708 opublikowana w ramach SAP Security Patch Day (https://url.sap/sapsecuritypatchday). Zalecane jest niezwłoczne wdrożenie poprawki ze względu na krytyczny poziom CVSS 9.9.
SAP NetWeaver AS for ABAP oraz ABAP Platform (Internet Communication Framework) – SAP Basis; konkretne wersje wskazane w referencjach producenta (nota SAP 3550708)
Podatność opublikowana 14 stycznia 2025 roku w ramach cyklicznego SAP Security Patch Day. Wysoki wynik CVSS (9.9) wynika ze zmienionego zakresu ataku (Scope Changed) oraz pełnego wpływu na poufność, integralność i dostępność przy niskich wymaganiach dotyczących uprawnień atakującego.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HSap Basis
APPSap700701702731740750751752753754755756757758912+ 2 więcej
Powiązane podatności
SAP NetWeaver Application Server ABAP and ABAP Platform allows an authenticated attacker with normal privilege...
SAP NetWeaver AS ABAP and ABAP Platform does not check for authorization when a user executes some RFC functio...
The (1) SAP_BASIS and (2) SAP_ABA components 7.00 SP Level 0031 in SAP NetWeaver 2004s might allow remote atta...
Due to missing authorization check in SAP NetWeaver Application Server ABAP and SAP S/4HANA, an authenticated ...
An erroneous authorization check in SAP Business Workflow leads to privilege escalation. An authenticated admi...