{
  "document" : {
    "aggregate_severity" : {
      "text" : "hoch"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um seine Privilegien zu erhöhen, beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen und einen Cross-Site-Scripting-Angriff durchzuführen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2022-2290 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-2290.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2022-2290 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-2290"
    }, {
      "category" : "external",
      "summary" : "SAP Patchday December 2022 vom 2022-12-12",
      "url" : "https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10"
    } ],
    "source_lang" : "en-US",
    "title" : "SAP Patchday Dezember 2022",
    "tracking" : {
      "current_release_date" : "2023-05-31T22:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:39:42.216+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2022-2290",
      "initial_release_date" : "2022-12-12T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2022-12-12T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      }, {
        "date" : "2023-05-31T22:00:00.000+00:00",
        "number" : "2",
        "summary" : "CVE Nummern ergänzt"
      } ],
      "status" : "final",
      "version" : "2"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "SAP Software",
        "product" : {
          "name" : "SAP Software",
          "product_id" : "T016476",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:sap:sap:-"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "SAP"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2022-42889",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-42889"
  }, {
    "cve" : "CVE-2022-41275",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41275"
  }, {
    "cve" : "CVE-2022-41274",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41274"
  }, {
    "cve" : "CVE-2022-41273",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41273"
  }, {
    "cve" : "CVE-2022-41272",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41272"
  }, {
    "cve" : "CVE-2022-41271",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41271"
  }, {
    "cve" : "CVE-2022-41268",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41268"
  }, {
    "cve" : "CVE-2022-41267",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41267"
  }, {
    "cve" : "CVE-2022-41266",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41266"
  }, {
    "cve" : "CVE-2022-41264",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41264"
  }, {
    "cve" : "CVE-2022-41263",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41263"
  }, {
    "cve" : "CVE-2022-41262",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41262"
  }, {
    "cve" : "CVE-2022-41261",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41261"
  }, {
    "cve" : "CVE-2022-41215",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-41215"
  }, {
    "cve" : "CVE-2022-39013",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-39013"
  }, {
    "cve" : "CVE-2022-35737",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-35737"
  }, {
    "cve" : "CVE-2022-35299",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-35299"
  }, {
    "cve" : "CVE-2022-32240",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-32240"
  }, {
    "cve" : "CVE-2022-32235",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2022-32235"
  }, {
    "cve" : "CVE-2020-6215",
    "notes" : [ {
      "category" : "description",
      "text" : "In den folgenden SAP-Anwendungskomponenten bestehen mehrere Schwachstellen, die nicht öffentlich beschrieben wurden: SAP BusinessObjects Business Intelligence Platform, NetWeaver Process Integration, Commerce, BASIS, Business Planning and Consolidation, Disclosure Management, NetWeaver AS for Java, Solution Manager, Sourcing und Contract Lifecycle Management. Beschreibungen und Updates für diese Schwachstellen finden Sie in den SAP-Sicherheitshinweisen. Um einige dieser Schwachstellen auszunutzen, sind Benutzerinteraktion oder privilegierte Rechte erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2022-12-12T23:00:00.000+00:00",
    "title" : "CVE-2020-6215"
  } ]
}