Podatność w SAP S/4HANA (Private Cloud i On-Premise) umożliwia atakującemu posiadającemu uprawnienia administratora wstrzyknięcie dowolnego kodu ABAP lub poleceń systemowych (OS commands) poprzez moduł funkcyjny eksponowany przez RFC. Skutkuje to możliwością pełnego przejęcia kontroli nad systemem.
▸ Pokaż oryginał (EN)
SAP S/4HANA (Private Cloud and On-Premise) allows an attacker with admin privileges to exploit a vulnerability in the function module exposed via RFC. This flaw enables the injection of arbitrary ABAP code/OS commands into the system, bypassing essential authorization checks. This vulnerability effectively functions as a backdoor, creating the risk of full system compromise, undermining the confidentiality, integrity and availability of the system.
Atakujący z uprawnieniami administratora wykorzystuje moduł funkcyjny udostępniony przez interfejs RFC (Remote Function Call). Luka polega na niewystarczającej walidacji danych wejściowych (CWE-94: Improper Control of Code Generation), co pozwala na wstrzyknięcie dowolnego kodu ABAP lub poleceń systemu operacyjnego. Mechanizm omija wymagane kontrole autoryzacji, działając w praktyce jako backdoor. W rezultacie atakujący uzyskuje pełną kontrolę nad systemem, naruszając jego poufność, integralność i dostępność.
Atakujący może osiągnąć pełny kompromis systemu SAP S/4HANA — wykonać dowolny kod ABAP lub polecenia systemu operacyjnego, co prowadzi do utraty poufności, integralności i dostępności danych oraz całego środowiska SAP.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — SAP Security Note 3694242 (https://me.sap.com/notes/3694242) opublikowaną w ramach SAP Security Patch Day. Zalecane jest również ograniczenie dostępu do interfejsu RFC wyłącznie do zaufanych hostów oraz audyt kont z uprawnieniami administratora.
SAP S/4HANA w wariantach Private Cloud oraz On-Premise; szczegółowe wersje wskazane w referencjach producenta (SAP Security Note 3694242).
Pomimo wymogu posiadania uprawnień administratora (PR:H), podatność została oceniona jako CRITICAL (CVSS 9.1) ze względu na zmieniony zakres (S:C) i pełny wpływ na poufność, integralność oraz dostępność. Producent wprost określa tę lukę jako działającą na zasadzie backdoora.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HSap S\/4 Hana
APPSap102103104105106107108109
Powiązane podatności
SAP AS ABAP (SAP Landscape Transformation), versions - 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_...
VAT Pro-Rata reports in SAP ERP (SAP_APPL versions 600, 602, 603, 604, 605, 606, 616 and SAP_FIN versions 617,...
Fields which are in 'read only' state in Bank Statement Draft in Manage Bank Statements application, could be ...
Manage Incoming Payment Files (F1680) of SAP S/4HANA does not perform necessary authorization checks for an au...
The OData service of the S4 HANA (Manage checkbook apps) - versions 102, 103, 104, 105, 106, 107, allows an at...