Es existiert eine neue kritische Sicherheitslücke, die erst in der Novemberausgabe des SAP-Patchdays offiziell bekannt gegeben wird: die SAP Security Note 2928635 (CVE-2020-6284) ist eine Cross-Site-Scripting Sicherheitslücke (XSS) im SAP NetWeaver Knowledge Management.
Reagieren Sie sofort und beheben Sie die Schwachstelle!
Die Sicherheitslücke erlaubt die Ausführung von Skriptinhalten in einer abgelegten Datei aufgrund unzureichender Filterung mit den Zugriffsberechtigungen des Benutzers. Sollte ein Benutzer mit weitreichenden Administrationsrechten auf diese Datei zugreifen, so kann die Ausführung des Skriptes zu einer vollständigen Gefährdung Ihres SAP-Systems hinsichtlich der IT-Schutzziele von Vertraulichkeit, Integrität und Verfügbarkeit führen.
Handeln Sie nicht wird es kritisch, da eine schadhafte Datei hochgeladen werden kann, die automatisch und ohne Berechtigungsprüfung ausgeführt wird.
Betroffene Softwarekomponenten:
Das tangiert folgende Versionen der Softwarekomponente KMC-CM mit allen Support Packages:
- 7.30
- 7.31
- 7.40
- 7.50
Die Ausführung schädlicher Ressourcen im SAP NetWeaver Knowledge Management wird mit dem Patchen der KMC CONTENT MANAGEMENT Softwarekomponente behoben.
Unser Tipp: Beachten Sie, den Hinweis in jedes Ihrer SAP-Systeme separat einzubauen.
Quelle: https://launchpad.support.sap.com/#/notes/2928635