{
  "document" : {
    "aggregate_severity" : {
      "text" : "hoch"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "SAP stellt unternehmensweite Lösungen für Geschäftsprozesse wie Buchführung, Vertrieb, Einkauf und Lagerhaltung zur Verfügung.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein Angreifer kann mehrere Schwachstellen in der SAP-Software ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder Cross-Site-Scripting (XSS)-Angriffe durchzuführen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Linux\n- Windows\n- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2024-0597 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0597.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2024-0597 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0597"
    }, {
      "category" : "external",
      "summary" : "SAP Security Patch Day vom 2024-03-11",
      "url" : "https://support.sap.com/en/my-support/knowledge-base/security-notes-news/march-2024.html"
    } ],
    "source_lang" : "en-US",
    "title" : "SAP Security Patch Day – März 2024",
    "tracking" : {
      "current_release_date" : "2024-03-11T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T18:06:19.294+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2024-0597",
      "initial_release_date" : "2024-03-11T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2024-03-11T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "SAP Software",
        "product" : {
          "name" : "SAP Software",
          "product_id" : "T033370",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:sap:sap:-"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "SAP"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2024-28163",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2024-28163"
  }, {
    "cve" : "CVE-2024-27902",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2024-27902"
  }, {
    "cve" : "CVE-2024-27900",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2024-27900"
  }, {
    "cve" : "CVE-2024-25645",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2024-25645"
  }, {
    "cve" : "CVE-2024-25644",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2024-25644"
  }, {
    "cve" : "CVE-2024-22133",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2024-22133"
  }, {
    "cve" : "CVE-2024-22127",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2024-22127"
  }, {
    "cve" : "CVE-2023-50164",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2023-50164"
  }, {
    "cve" : "CVE-2023-44487",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2023-44487"
  }, {
    "cve" : "CVE-2023-39439",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2023-39439"
  }, {
    "cve" : "CVE-2019-10744",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in SAP-Software. Diese Fehler bestehen in den Plugins und Komponenten, SAP Business Client, SAP Build Apps, SAP NetWeaver, SAP Commerce Cloud, SAP HANA XS Classic und HANA XS Advanced, SAP BusinessObjects Business Intelligence Platform, SAP Fiori Front End Server und SAP ABAP Platform, unter anderem aufgrund mehrerer sicherheitsrelevanter Probleme wie einer unzulässigen Authentifizierung, einer unzulässigen Zugriffskontrolle oder einer fehlenden Berechtigungsprüfung. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, einen Denial-of-Service-Zustand herbeizuführen, vertrauliche Informationen offenzulegen oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Einige dieser Schwachstellen erfordern eine Anmeldung oder Benutzerinteraktion, um erfolgreich ausgenutzt zu werden."
    } ],
    "product_status" : {
      "known_affected" : [ "T033370" ]
    },
    "release_date" : "2024-03-11T23:00:00.000+00:00",
    "title" : "CVE-2019-10744"
  } ]
}