{
  "document" : {
    "aggregate_severity" : {
      "text" : "hoch"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in SAP Software ausnutzen, um seine Privilegien zu erhöhen, beliebigen Code auszuführen, vertrauliche Informationen offenzulegen, einen Cross-Site-Scripting-Angriff durchzuführen und Daten zu manipulieren.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- UNIX\n- Linux\n- MacOS X\n- Windows\n- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-0040 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0040.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-0040 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0040"
    }, {
      "category" : "external",
      "summary" : "SAP Patchday Januar 2023 vom 2023-01-09",
      "url" : "https://www.sap.com/docs/download/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.pdf"
    } ],
    "source_lang" : "en-US",
    "title" : "SAP Patchday Januar 2023",
    "tracking" : {
      "current_release_date" : "2023-01-09T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:40:56.179+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-0040",
      "initial_release_date" : "2023-01-09T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-01-09T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "SAP Software",
        "product" : {
          "name" : "SAP Software",
          "product_id" : "T016476",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:sap:sap:-"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "SAP"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2023-0023",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in SAP Software. Der Fehler ist noch nicht im Detail beschrieben und besteht in der Komponente Bank Account Management (Manage Banks). Ein entfernter, authentisierter Angreifer mit bestimmten Privilegien kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2023-0023"
  }, {
    "cve" : "CVE-2023-0022",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in SAP Software. Der Fehler ist noch nicht im Detail beschrieben und besteht in der Komponente BusinessObjects Business Intelligence-Plattform (Analysis Edition for OLAP). Ein entfernter, authentisierter Angreifer kann diese Schwachstelle zur Ausführung von beliebigem Code ausnutzen."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2023-0022"
  }, {
    "cve" : "CVE-2023-0016",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in SAP Software. Der Fehler besteht aufgrund einer SQL Injection in der Komponente Business Planning and Consolidation MS. Ein entfernter, authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Daten zu manipulieren."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2023-0016"
  }, {
    "cve" : "CVE-2023-0018",
    "notes" : [ {
      "category" : "description",
      "text" : "In SAP Software existieren mehrere Cross-Site Scripting Schwachstellen in den Komponenten NetWeaver AS for ABAP and ABAP Platform and BusinessObjects Business Intelligence Platform. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, anonymer oder authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2023-0018"
  }, {
    "cve" : "CVE-2023-0015",
    "notes" : [ {
      "category" : "description",
      "text" : "In SAP Software existieren mehrere Cross-Site Scripting Schwachstellen in den Komponenten NetWeaver AS for ABAP and ABAP Platform and BusinessObjects Business Intelligence Platform. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, anonymer oder authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2023-0015"
  }, {
    "cve" : "CVE-2023-0013",
    "notes" : [ {
      "category" : "description",
      "text" : "In SAP Software existieren mehrere Cross-Site Scripting Schwachstellen in den Komponenten NetWeaver AS for ABAP and ABAP Platform and BusinessObjects Business Intelligence Platform. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, anonymer oder authentisierter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2023-0013"
  }, {
    "cve" : "CVE-2023-0017",
    "notes" : [ {
      "category" : "description",
      "text" : "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Host Agent, NetWeaver AS for ABAP und ABAP Platform und NetWeaver AS for Java aufgrund einer lokalen Privilegienerweiterung, eines Capture-Replays und einer unzulässigen Zugriffskontrolle. Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern. Das erfolgreiche Ausnutzen einer dieser Schwachstellen erfordert erhöhte Rechte."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2023-0017"
  }, {
    "cve" : "CVE-2023-0014",
    "notes" : [ {
      "category" : "description",
      "text" : "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Host Agent, NetWeaver AS for ABAP und ABAP Platform und NetWeaver AS for Java aufgrund einer lokalen Privilegienerweiterung, eines Capture-Replays und einer unzulässigen Zugriffskontrolle. Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern. Das erfolgreiche Ausnutzen einer dieser Schwachstellen erfordert erhöhte Rechte."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2023-0014"
  }, {
    "cve" : "CVE-2023-0012",
    "notes" : [ {
      "category" : "description",
      "text" : "In SAP Software existieren mehrere Schwachstellen. Die Fehler bestehen in den Komponenten Host Agent, NetWeaver AS for ABAP und ABAP Platform und NetWeaver AS for Java aufgrund einer lokalen Privilegienerweiterung, eines Capture-Replays und einer unzulässigen Zugriffskontrolle. Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um seine Privilegien zu erweitern. Das erfolgreiche Ausnutzen einer dieser Schwachstellen erfordert erhöhte Rechte."
    } ],
    "product_status" : {
      "known_affected" : [ "T016476" ]
    },
    "release_date" : "2023-01-09T23:00:00.000+00:00",
    "title" : "CVE-2023-0012"
  } ]
}