![[Translate to German:]](/fileadmin/_processed_/3/9/csm_sec-consult-h-sap-2_7816bf633f.jpg "[Translate to German:]")
Mit CVSSv3-Scores von 9.9, ermöglichen CVE-2021-21465 und CVE-2021-21466 Angreifern mit minimalen Privilegien die vollständige Übernahme der betroffenen Anwendungsserver über das Netzwerk. Damit gefährden die verwundbaren Komponenten nicht nur die Vertraulichkeit, sondern auch die Verfügbarkeit und Integrität von Geschäftsdaten, die in IT-Infrastrukturen von Unternehmen gesichert sind. Um die Lücken zu schließen, hat SAP SE heute die entsprechenden Patches veröffentlicht, die durch den SEC Consult Researcher Fabian Hagg entdeckt wurden. Wir empfehlen dringend, die Security-Notes 2986980 und 2999854 umgehend zu installieren, um sich vor diesen Angriffen zu schützen.
Dies sind die neuesten in einer Reihe von Sicherheitslücken, die in der Business Warehouse Komponente identifiziert wurden. Eine weitere Code-Injection Schwachstelle (CVE-2020-26838) wurde von dem SEC Consult Researcher Raschin Tavakoli gefunden und bereits innerhalb des Dezember-Patch Tuesday 2020 behoben. Wir raten dazu, noch einmal zu überprüfen, ob alle zuvor identifizierten Schwachstellen, welche wir im letzten Jahr gemeldet haben, entsprechend geschlossen wurden (siehe Tabelle unten).
Da wir wissen, dass das Einspielen von Patches und Sicherheitsmaßnahmen in geschäftskritische IT-Systeme eine komplexe und schwierige Aufgabe sein kann, orientieren wir uns hier an den Disclosure-Guidelines von SAP SE für die Veröffentlichung von detaillierten Informationen zu unseren Erkenntnissen. Entsprechende Advisories werden daher erst nach Ablauf einer ausreichenden Übergangszeit publiziert.
Abschließend möchten wir uns noch einmal beim SAP Product Security Response Team (PSRT) für die Zusammenarbeit und den professionellen Umgang mit den von uns gemeldeten Schwachstellen im Jahr 2020 bedanken.
Researcher: Fabian Hagg, Alexander Meier, Raschin Tavakoli
