CVSS 9.8 für SAP BusinessObjects BI Deshalb sollten Sie das Oktober-Update von SAP schnellstmöglich installieren

Anbieter zum Thema

FAST LTA GmbH

FTAPI Software GmbH

In SAP Business Objects BI wurde eine kritische Sicherheitslücke gefunden. Auch die Programme Enterprise Project Connection, Commerce Backoffice und weitere SAP-Software weisen Schwachstellen auf.

Der SAP Security Patch Day im Oktober 2024 bringt sechs neue Sicherheitsmeldungen und sieben Updates für bereits bekannte Schwachstellen in verschiedenen SAP-Produkten. Diese haben teilweise einen CVSS von 9.8. Daher sollten Unternehmen die bereitgestellten Patches sofort implementieren.

20 wichtige Updates

Sicherheitsupdates für SAP-Anwendungen

Kritische Sicherheitslücke in SAP Business Objects BI

Eine der kritischsten Schwachstellen betrifft SAP BusinessObjects Business Intelligence Platform. Die Sicherheitslücke CVE-2024-41730 erlaubt es Angreifern, ohne Authentifizierung auf das System zuzugreifen. SAP BusinessObjects BI ist in vielen Unternehmen für Datenanalyse und Reporting verantwortlich. Ein erfolgreicher Angriff könnte nicht nur vertrauliche Geschäftsdaten gefährden, sondern auch zu einem vollständigen Kontrollverlust über das System führen.

Eine weitere relevante Schwachstelle der Software SAP BusinessObjects BI (Web Intelligence), ist CVE-2024-37179, die von einer unsicheren Dateiverarbeitung betroffen ist. Hier können Angreifer über manipulierte Dateien Zugang zum System erhalten, was zu Datenverlust oder Manipulation führen kann. Die Sicherheitslücke hat einen CVSS-Score von 7.7.

Sensible Daten in SAP gefährdet

Auch SAP Enterprise Project Connection weist schwerwiegende Sicherheitslücken auf (CVE-2022-23302). Diese betreffen die Version 3.0 der Software und umfassen mehrere CVEs, darunter CVE-2024-22259 und CVE-2024-38809. Mit einem CVSS-Score von 8.0 gelten diese Lücken als hochgradig gefährlich, da sie Angreifern erlauben könnten, Projektverbindungen zu manipulieren und geschäftskritische Daten zu kompromittieren.

Mehrere Updates wurden auch für SAP PDCE (Product Data Control Engine) veröffentlicht. Ein fehlender Autorisierungs-Check (CVE-2024-39592) ermöglicht es Angreifern, unberechtigt auf sensible Daten zuzugreifen. Mit einem CVSS-Score von 7.7 liegt auch hier ein erhebliches Sicherheitsrisiko vor. SAP PDCE wird in vielen Unternehmen für die Verwaltung von Produktdaten eingesetzt, was die Relevanz dieses Updates erhöht.

SAP Replication Server weist ebenfalls mehrere Schwachstellen auf, darunter CVE-2023-0215 und CVE-2022-0778. Diese Sicherheitslücken betreffen die Versionen 16.0.3 und 16.0.4 und haben einen CVSS-Score von 6.5. Besonders kritisch sind hierbei die potenziellen Auswirkungen auf die Replikationsprozesse, die für die Konsistenz und Verfügbarkeit von Daten in verteilten Systemen sorgen.

Auch SAP NetWeaver AS für Java (Destination Service) ist von einer Informationsoffenlegung betroffen (CVE-2024-45283). Diese Schwachstelle hat einen CVSS-Score von 6.0 und ermöglicht es Angreifern, vertrauliche Daten über unsichere Verbindungen abzugreifen.

Ein weiteres Update betrifft SAP Commerce Backoffice, das anfällig für Cross-Site-Scripting (XSS) ist (CVE-2024-45278). Diese Sicherheitslücke in den Versionen HY_COM 2205 und COM_CLOUD 2211 hat einen CVSS-Score von 5.4 und kann dazu genutzt werden, Schadcode in die Weboberfläche einzuschleusen.

Die Sicherheitslücken in SAP NetWeaver Enterprise Portal (KMC) (CVE-2024-47594) und SAP HANA Client (CVE-2024-45277) weisen ebenfalls mittlere Schweregrade auf und betreffen wichtige Komponenten, die für den Zugriff auf Unternehmensdaten genutzt werden.

Neue Studie von Onapsis

ERP-Systeme gezielt im Visier von Ransomware-Akteuren

(ID:50200002)