{"id":2466,"date":"2020-11-05T11:19:37","date_gmt":"2020-11-05T10:19:37","guid":{"rendered":"https:\/\/sast-blog.akquinet.de\/?p=2466"},"modified":"2020-11-12T11:00:30","modified_gmt":"2020-11-12T10:00:30","slug":"sicherheitsluecke-im-sap-netweaver-knowledge-management-handeln-sie-sofort","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2020\/11\/05\/sicherheitsluecke-im-sap-netweaver-knowledge-management-handeln-sie-sofort\/","title":{"rendered":"Cross-Site-Scripting (XSS) Sicherheitsl\u00fccke im SAP NetWeaver Knowledge Management \u2013 handeln Sie sofort!"},"content":{"rendered":"

\"SASTEs existiert eine neue kritische Sicherheitsl\u00fccke, die erst in der Novemberausgabe des SAP-Patchdays offiziell bekannt gegeben wird: die SAP Security Note 2928635 (CVE-2020-6284) ist eine Cross-Site-Scripting Sicherheitsl\u00fccke (XSS) im SAP NetWeaver Knowledge Management.<\/p>\n

Reagieren Sie sofort und beheben Sie die Schwachstelle!<\/p>\n

<\/p>\n

 <\/p>\n

Die Sicherheitsl\u00fccke erlaubt die Ausf\u00fchrung von Skriptinhalten in einer abgelegten Datei aufgrund unzureichender Filterung mit den Zugriffsberechtigungen des Benutzers. Sollte ein Benutzer mit weitreichenden Administrationsrechten auf diese Datei zugreifen, so kann die Ausf\u00fchrung des Skriptes zu einer vollst\u00e4ndigen Gef\u00e4hrdung Ihres SAP-Systems hinsichtlich der IT-Schutzziele von Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit f\u00fchren.<\/p>\n

Handeln Sie nicht wird es kritisch, da eine schadhafte Datei hochgeladen werden kann, die automatisch und ohne Berechtigungspr\u00fcfung ausgef\u00fchrt wird.<\/p>\n

Betroffene Softwarekomponenten:<\/strong><\/h2>\n

Das tangiert folgende Versionen der Softwarekomponente KMC-CM mit allen Support Packages:<\/p>\n