SAP NetWeaver AS ABAP and ABAP Platform bis 7.93 Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.3$0-$5k0.00

In SAP NetWeaver AS ABAP and ABAP Platform bis 7.93 wurde eine kritische Schwachstelle gefunden. Dabei geht es um ein unbekannter Prozess. Dank der Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-400. Auswirkungen sind zu beobachten für die Verfügbarkeit. CVE fasst zusammen:

The ABAP Application Server of SAP NetWeaver as well as ABAP Platform allows an attacker to prevent legitimate users from accessing a service, either by crashing or flooding the service. This leads to a considerable impact on availability.

Auf me.sap.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 26.03.2024 mit CVE-2024-30218 vorgenommen. Sie gilt als leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 09.04.2024). MITRE ATT&CK führt die Angriffstechnik T1499 für diese Schwachstelle.

Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔒
VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.5
VulDB Meta Temp Score: 6.3

VulDB Base Score: 6.5
VulDB Temp Score: 6.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 6.5
CNA Vector (SAP SE): 🔒

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-400 / CWE-404
CAPEC: 🔒
ATT&CK: 🔒

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔒

Timelineinfo

26.03.2024 CVE zugewiesen
09.04.2024 +13 Tage Advisory veröffentlicht
09.04.2024 +0 Tage VulDB Eintrag erstellt
09.04.2024 +0 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Hersteller: sap.com

Advisory: me.sap.com
Status: Bestätigt

CVE: CVE-2024-30218 (🔒)
scip Labs: https://www.scip.ch/?labs.20150716

Eintraginfo

Erstellt: 09.04.2024 04:02
Aktualisierung: 09.04.2024 14:17
Anpassungen: 09.04.2024 04:02 (63), 09.04.2024 14:17 (1)
Komplett: 🔍

Diskussion

Anonymous User 👤 (+0)
21 days ago
Good morning,
I don't find the CPE on the NVD Nist dictionary. You could add for "The Abap Application Server of Sap Netweaver As Well As Abap Platform" the following:
sap: netweaver_application_server_abap
sap: abap_platform
sap: as_abap
We would appreciate it very much.
Best Regards,
TEAM CERT
VulDB Community Team 👨‍💻21 days ago
Thank you, we have just aligned the CPE. There is only one of these CPEs in use at the moment.
Anonymous User 👤 (+0)
21 days ago
Good afternoon,
Could You verify the API update on this CPE? I still can't find it.
Best Regards,
TEAM CERT
VulDB Community Team 👨‍💻21 days ago
Thank you for your feedback. We have just pushed the update to the API. It should be available in the next 5 minutes.

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!