SAP Security Patchday Juli 2024 | Ein entscheidender Schritt für den Schutz kritischer Unternehmensdaten

SAP Note 3483344 Missing Authorization check in PDCE

Ein besonderes Augenmerk liegt auf der Sicherheitsnote 3483344, die eine fehlende Autorisierungsprüfung im SAP PDCE-Modul adressiert. Diese Schwachstelle ermöglicht es einem Angreifer, privilegierte Informationen zu lesen, was die Vertraulichkeit der Anwendung stark gefährdet. SAP hat reagiert, indem betroffene Funktionen deaktiviert wurden, um unautorisierten Zugriff zu verhindern, und empfiehlt dringend die Implementierung des entsprechenden Supportpakets.

SAP Note 3490515 Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce

Ein weiteres kritisches Sicherheitsproblem wurde unter der Nummer 3490515 dokumentiert, welches unangemessene Autorisierungsprüfungen bei frühem Login auf B2B-Websites des SAP Commerce Composable Storefront betrifft. Hier konnte die Funktion „Passwort vergessen“ missbraucht werden, um Zugang zu erhalten, ohne dass eine Händlergenehmigung vorlag. Dies betrifft vor allem nicht isolierte Sites, was das Risiko potenziell auf mehrere Früh-Login-Sites ausweitet. Als Reaktion darauf wurden Patches bereitgestellt, die verhindern, dass Passwort-Reset-E-Mails an nicht genehmigte Benutzer gesendet werden.

SAP Note 3466801 Information Disclosure vulnerability in SAP Landscape Management

Ein drittes Update, die Sicherheitsnote 3466801, behandelt eine Informationsenthüllungsschwachstelle in SAP Landscape Management. Diese ermöglichte es authentifizierten Nutzern, über die REST Provider Definition Antwort vertrauliche Daten einzusehen. Die neueste Version dieser Notiz enthält aktualisierte Supportpakete und Patches, die bessere Protokollierungen von REST-Anbieterdefinitionen und eine manuelle Korrekturanweisung bieten.

Diese Updates zeigen, wie SAP aktiv daran arbeitet, Sicherheitslücken zu identifizieren und schnell zu schließen. Die regelmäßige Anwendung von Sicherheitspatches ist entscheidend für den Schutz der SAP-Landschaft und sollte oberste Priorität für alle SAP-Nutzer haben. Es wird empfohlen, diese Korrekturen umgehend zu implementieren, um die Integrität und Vertraulichkeit der Unternehmensdaten zu gewährleisten.

Hier finden Sie die SAP Notes (sortiert nach dem CVSS-Rank)

• SAP Note 3483344 | HIGH 7.7 | [CVE-2024-39592] Missing Authorization check in PDCE
• Product – SAP PDCE, Version – S4CORE 102, 103, S4COREOP 104, 105, 106, 107, 108
• SAP Note 3490515 |HIGH 7.2 | [CVE-2024-39597] Improper Authorization Checks on Early Login Composable Storefront B2B sites of SAP Commerce
• Product – SAP Commerce, Version – HY_COM 2205, COM_CLOUD 2211
• SAP Note 3466801 | Medium 6.9| [CVE-2024-39593] Information Disclosure vulnerability in SAP Landscape Management Product- SAP Landscape Management, Version – VCM 3.00
• SAP Note 3459379 | Medium 6.5 | Update to Security Note released on June 2024 Patch Day:
• [CVE-2024-34683] Unrestricted file upload in SAP Document Builder (HTTP service)
• Product- SAP Document Builder, Versions – S4CORE 100, 101, S4FND 102, 103, 104, 105, 106, 107, 108, SAP_BS_FND 702, 731, 746, 747, 748
• SAP Note 3468681 | Medium 6.1 | [CVE-2024-34685] Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Knowledge Management XMLEditor
• Product- SAP NetWeaver Knowledge Management XMLEditor, Version – KMC-WPC 7.50
• SAP Note 3467377 | Medium 6.1 |[Multiple CVEs] Multiple vulnerabilities in SAP CRM (WebClient UI) CVEs – CVE-2024-37173, CVE-2024-37174, CVE-2024-39598,CVE-2024-37175 Product- SAP CRM WebClient UI, Versions – S4FND 102, 103, 104, 105, 106, 107, 108, WEBCUIF 701, 731, 746, 747, 748, 800, 801
• SAP Note 3482217 | Medium 6.1 | [CVE-2024-39594] Multiple Cross-Site Scripting (XSS) vulnerabilities in SAP Business Warehouse – Business Planning and Simulation Additional CVE – CVE-2024-39595 Product- SAP Business Warehouse – Business Planning and Simulation, Versions – SAP_BW 700, 701, 702, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, SAP_BW_VIRTUAL_COMP 701
• SAP Note 3457354 | Medium 5.4 | [CVE-2024-37172] Missing Authorization check in SAP S/4HANA Finance (Advanced Payment Management)
• Product - SAP S/4HANA Finance (Advanced Payment Management), Versions – S4CORE 107, 108
• SAP Note 3458789 | Medium 5.0 | [CVE-2024-34689] Server-Side Request Forgery in SAP Business Workflow (WebFlow Services)
• Product- SAP Business Workflow (WebFlow Services), Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
• SAP Note 3483993 | Medium 5.0 | [CVE-2024-34689] Prerequisite for Security Note 3458789
• Product- SAP Business Workflow (WebFlow Services), Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
• SAP Note 3485805 | Medium 5.0 | [CVE-2024-34689] Allowlisting of callback-URLs in SAP Business Workflow (WebFlow Services)
• Product- SAP Business Workflow (WebFlow Services), Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
• SAP Note 3461110 | Medium 5.0 | [CVE-2024-39600] Information Disclosure vulnerability in SAP GUI for Windows Product– SAP GUI for Windows, Version – BC-FES-GUI 8
• SAP Note 3469958 | Medium 5.0 | [CVE-2024-37171] Server-Side Request Forgery (SSRF) in SAP Transportation Management (Collaboration Portal)
• Product – SAP Transportation Management (Collaboration Portal), Versions – SAPTMUI 140, 150, 160, 170
• SAP Note 3456952 | Medium 4.7 | [CVE-2024-39599] Protection Mechanism Failure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform Product – SAP NetWeaver Application Server for ABAP and ABAP Platform, Version – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 795, SAP_BASIS 796
• SAP Note 3476348 | Medium 4.3 | [CVE-2024-39596] Missing Authorization check vulnerability in SAP Enable Now Product – SAP Enable Now, Versions – WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10, ENABLE_NOW_CONSUMP_DEL 1704
• SAP Note 3454858 | Medium 4.1 | [CVE-2024-37180] Information Disclosure vulnerability in SAP NetWeaver Application Server for ABAP and ABAP Platform
• Product – SAP NetWeaver Application Server for ABAP and ABAP Platform, Versions – SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758
• SAP Note 3101986 | Medium 4.1 | Update to Security Note released on April 2022 Patch Day: Enable CSP support for OP1909 in SAP CRM WebClient UI
• Product – SAP CRM WebClient UI, Versions – S4FND 104
• SAP Note 3476340 | Low 3.3 | [CVE-2024-34692] Unrestricted File upload vulnerability in SAP Enable Now Product – SAP Enable Now, Versions – WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10, ENABLE_NOW_CONSUMP_DEL 1704

Bleiben Sie sicher und halten Sie Ihr System auf dem neuesten Stand!

Es ist immer wichtig, stets wachsam zu bleiben und sicherzustellen, dass Ihr SAP-System auf dem neuesten Stand ist. Das frühzeitige und konsequente Anwenden von Sicherheitspatches schützt nicht nur Ihre Daten, sondern auch die Konsistenz und Integrität Ihres gesamten Unternehmens.