Remote ADBC SQL Injection in SAP Netweaver

Title

Remote ADBC SQL Injection in SAP IUUC_RECON_RC_COUNT_TABLE_BIG

Product

SAP Netweaver

Vulnerable Version

siehe englische Website

Fixed Version

siehe englische Website

CVE Number

CVE-2021-33701, SAP SNote 3078312

Impact

critical

Homepage

https://www.sap.com/

Found

07.07.2021

By

Raschin Tavakoli (Office Vienna)

Das Funktions-Modul IUUC_RECON_RC_COUNT_TABLE_BIG im SAP DMIS-Paket und S4HANA ist anfällig für eine ADBC-SQL-Injection Schwachstelle, die es Angreifern mit bestimmten Berechtigungen ermöglicht, beliebige SQL-Lese-/Schreibbefehle in der Datenbank auszuführen und den Anwendungsserver vollständig zu übernehmen.

Zum vollständigen Security Advisory (Englisch).

Raschin Tavakoli (Office Vienna) @2021

Zurück