Remote ABAP Code Injection in SAP Netweaver

Title

Remote ABAP Code Injection in SAP IUUC_RECON_RC_COUNT_TABLE_BIG

Product

SAP Netweaver

Vulnerable Version

SAP DMIS 2011_1_731 SP 0013

Fixed Version

siehe englische Website

CVE Number

CVE-2021-33701, SAP Note 3078312

Impact

critical

Found

16.07.2021

By

Raschin Tavakoli (Office Vienna)

Das remote-fähige Funktionsmodul IUUC_RECON_RC_COUNT_TABLE_BIG im SAP DMIS-Paket in zumindest Version 2011_1_731 SP 0013 ist anfällig für eine ABAP-Code-Injection Schwachstelle, die es Angreifern mit bestimmten Berechtigungen ermöglicht, auf dem Back-End-Server beliebigen Code auszuführen und diesen vollständig zu übernehmen.

Zum vollständigen Security Advisory (Englisch).

EOF Raschin Tavakoli (Office Vienna) / @2021