SAP warnt vor kritischer Sicherheitslücke in Business Objects

Anlässlich des Patchdays im August hat SAP 17 Schwachstellen in seinen Softwareprodukten geflickt. Darunter befindet sich eine kritische Sicherheitslücke in der Business-Intelligence-Lösung Business Objects. 

Die Lücke mit der CVE-Nummer CVE-2024-41730 ermöglicht es Angreifern, die Authentifizierung zu umgehen. Ist für die Software das Single-Sign-on-Verfahren aktiviert, können sich nicht autorisierte User einen Anmeldetoken über einen REST-Endpunkt verschaffen und ein System vollständig kompromittieren, wie der Walldorfer ERP-Hersteller mitteilt. Die Schwachstelle betrifft die Versionen Enterprise 430 und 440 der Plattform. 

Eine weitere als "kritisch" eingestufte Sicherheitslücke steckt in der Low-Code-Lösung SAP Build Apps. Die Schwachstelle mit der Kennung CVE-2024-29415 könnte eine SSRF-Attacke ermöglichen (Server-Side Request Forgery). Angreifer könnten einen Server so manipulieren, dass er unbeabsichtigte respektive schädliche Anfragen an weitere Systeme stellt.  

Weitere Informationen zu den einzelnen Sicherheitsnotizen finden sich in der Patchday-Übersicht vom August. 

Im Juli ist übrigens eine kritische Sicherheitslücke in Microsoft Outlook bekannt geworden, die es nicht autorisierten Usern ermöglicht, Schadcode aus der Ferne auszuführen. Lesen Sie hier mehr dazu. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.