SAP dicht lekken in NetWeaver en Commerce Cloud

In dit artikel:

SAP heeft in de maandelijkse beveiligingsupdate vijftien lekken dichtgeplakt, waarvan vier als kritiek zijn aangemerkt en vooral NetWeaver en Commerce Cloud treft. De twee meest zorgwekkende problemen zitten in NetWeaver: een fout in de SAML‑authenticatie waardoor gemanipuleerde, digitaal ondertekende XML‑berichten kunnen leiden tot het aannemen van vervalste identiteitclaims en zo ongeautoriseerde toegang mogelijk maken; en een geheugenbeschadigingsprobleem in de ABAP Application Server dat kan worden veroorzaakt via speciaal opgestelde RFC‑verzoeken zonder voorafgaande authenticatie. Beide kwetsbaarheden kregen een zeer hoge CVSS‑score en raken componenten die in veel ERP‑landschappen cruciaal zijn.

Verder heeft SAP een ernstig lek in Commerce Cloud en Data Hub aangepakt dat verband houdt met een Spring Security‑component, plus een directory‑traversal in de Java‑gebaseerde NetWeaver Application Server waarmee bestanden buiten bedoelde mappen benaderd konden worden. Naast deze kritieke issues zijn ook meerdere zwaktes verholpen die SQL‑injectie, XSS, e‑mailspoofing, autorisatieomzeiling en Apache Tomcat‑problemen mogelijk maakten.

Technische details zijn alleen via SAP’s beveiligingsportaal beschikbaar, dus het is niet publiekelijk bekend of er al actief misbruik plaatsvindt. SAP en security‑adviseurs roepen beheerders op de updates zo snel mogelijk te installeren en waar nodig aanvullende mitigaties (zoals netwerkbeperkingen en monitoring) toe te passen om risico’s voor bedrijfsprocessen te beperken.