Customer Experience (CX)

Am 14. Mai 2024 veröffentlichte SAP 14 neue Sicherheitshinweise und aktualisierte 3 bereits bestehende Hinweise. Diese Hinweise behandeln Schwachstellen in verschiedenen SAP-Produkten, die dringend behoben werden sollten.

Ein besonders kritischer Sicherheitshinweis betrifft SAP Customer Experience (CX) mit einem CVSS-Wert von 9,8. In CX Commerce wurden zwei Schwachstellen identifiziert. Die erste ist eine CSS Injection Schwachstelle, die es Angreifern ermöglicht, die Relative Path Overwrite (RPO)-Technik in CSS-basierten Eingabefeldern zu nutzen, was hohe Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung darstellt. Die zweite Schwachstelle betrifft eine unsachgemäße Initialisierung in SAP CX Commerce, das Apache Calcite Avatica 1.18.0 verwendet. Diese Schwachstelle kann zur Remote Code Execution führen, da der JDBC-Treiber HTTP-Client-Instanzen basierend auf unüberprüften Klassennamen erstellt, was zur Ausführung von beliebigem Code führen kann.

Die betroffene Version von CX Commerce verwendet Swagger UI vor Version 3.23.11 und Apache Calcite Avatica vor Version 1.22.0. Die einzige Test-Erweiterung, die Swagger UI 3.20.1 verwendet, wurde vollständig entfernt und Avatica-core wurde durch ein Update von Solr auf 8.11.3 auf Version 1.23.0 aktualisiert. Der Fix für beide Bibliotheken ist im neuesten Patch, SAP Commerce Cloud Patch Release 2205.24, verfügbar.

Ein weiterer wichtiger Hinweis betrifft den SAP_BASIS NetWeaver Application Server ABAP mit einem CVSS-Wert von 9,6. Hier kann ein nicht authentifizierter Angreifer eine bösartige Datei hochladen, die bei Zugriff durch ein Opfer das System vollständig kompromittieren kann. Betroffen sind die Inhaltsrepositories „FILESYSTEM“ und „SOMU_DB“, die mit der Option „Keine Signatur“ konfiguriert sind. Die Korrektur implementiert eine sichere Standardkonfiguration. Diese Konfiguration gilt jedoch nur für Neuinstallationen. Nach einem Update müssen Administratoren die Änderungen manuell vornehmen. Es wird dringend empfohlen, die im Sicherheitshinweis beschriebenen Korrekturen anzuwenden.

Ein weiterer Sicherheitshinweis betrifft die SAP Business Objects Business Intelligence Platform, die anfällig für Stored XSS (Cross-Site Scripting) ist. Diese Schwachstelle ermöglicht es Angreifern, Parameter in der Opendocument-URL zu manipulieren, was erhebliche Beeinträchtigungen der Vertraulichkeit und Integrität der Anwendung zur Folge haben kann. Die benutzerdefinierten Eingabeparameter in der Opendocument-URL wurden bereinigt. Es wird empfohlen, die genannten Support Packages und Patches zu implementieren.