Die Experten des SEC Consult Vulnerability Lab haben in SAP-Service-Data-Download eine kritische Schwachstelle identifiziert, die sämtliche SAP-ABAP-Systeme, die das SAP-Solution-Manager-Plugin ST-PI verwenden, betrifft.
Vor wenigen Tagen wurden von SAP mehrere Updates veröffentlicht, um kritische Sicherheitslücken zu beseitigen. SEC Consult entdeckte die Schwachstelle im SAP-Service-Data-Download am 20. April 2020 und verständigte SAP im Rahmen des SEC-Consult-Responsible-Disclosure-Prozesses sofort. In Zusammenarbeit mit dem SAP-Product-Security-Response-Team wurde die Lücke geschlossen und SAP stellte den Patch am 12. Mai 2020 zur Verfügung.
Eine Attacke kann über das Netzwerk durchgeführt werden, indem der Angreifer beliebigen Code in die Applikation injiziert. Damit ist eine vollständige Manipulation der Applikationslogik und des Verhaltens des SAP-Application-Servers ABAP möglich. Durch diese hochkritische Schwachstelle können unter anderem beliebige Kommandos unautorisiert ausgeführt, beliebige sensible Daten ausgespäht und Denial-of-Service-Angriffe durchgeführt werden.
Info: Weitere Details und technische Informationen finden sich auf dem SEC-Consult-Blog unter:
#Secconsult