SAP-Patchday behebt fünf kritische Lecks

Im Advisory von SAP für den September-Patchday finden sich mit fünf sogenannten Hot News ungewöhnlich viele Hinweise auf kritische Schwachstellen. Die nun gestopften Lecks finden sich im JMS Connector Service des Netweaver Application Servers for Java (CVE-2021-37535 mit dem höchstmöglichen CVSS-Score 10), im NZDT Mapping Table Framework (CVE-2021-38176), das in diversen SAP-Lösungen zum Einsatz kommt, darunter SAP 4/Hana, im Visual Composer 7.0 RT von Netweaver (CVE-2021-38163), in Netweaver Knowledge Management XML Forms (CVE-2021-37531) sowie im SAP Contact Center (diverse CVEs). Diese vier Schwachstellen sind mit dem fast maximalen CVSS-Score 9.9 eingestuft.


Die publizierten kritischen Sicherheitslücken ermöglichen je nach Fall Operationen ohne Autorisations-Check, SQL Injections, unkontrollierte Datei-Uploads oder Code Injections. Die Meldung zum Patchday zählt darüber hinaus zwei Lecks der Stufe hoch und zehn mittelschwere Sicherheitsprobleme auf. (ubi)